◆ WordPressサイトの構築方法(初心者向け・小さな会社やお店の目線)
※間違ってたらすみません。
※メモ書きなので、自分でも意味不明な箇所も多いです。ごめんなさい。
目次
※Shift+TABキー、もしくは、Homeキー、Homeキー+TAB数回、を押すと、目次付近に戻れます。
● はじめに(★★ 最重要!!!必読!!騙されないために!★★)
● WordPressサイトの構築・開始において必要なソフトについて
【FTPソフト】
【テキストエディタ】
【phpMyAdmin】
● 「Filezilla」の使い方ダイジェスト
● レンタルサーバとその契約について
【Wordpress初心者にとっての落とし穴~バックアップと復元とセキュリティ】
【SQLインジェクションとは】
【WordPressとそのセキュリティとは】
【レンタルサーバのユーザー名とパスワードについて】
● テキストエディタの準備
● レンタルサーバのコントロールパネル画面へのログイン
● WordPressに関する、そのレンタルサーバの注意喚起事項や規約・設定の各案内を必ず読む。
● WAFの有効化
● レンタルサーバコントロールパネルメニューにおける削除体験用のWordPressのインストール
● WordPressをインストールすると何がどう配置されるか?
● セキュリティ上、Wordpressとそのデータベースの削除のテスト
● セキュリティ上、テスト用や消し忘れのWordpressやphpMyAdminを必ず削除する
● 本番用のWordpressの作成
● 新しいWordpress管理者アカウントの作成
● 新しいWordpress管理者アカウントのパスワードをメモし忘れたら?
● 新しく作ったアカウントでログインテスト
● 念のために新しく作ったアカウントで再度、ログアウトとログインのテスト
● 最初の既定のアカウントを消す
● 再度、管理者ユーザーでログアウトとログインをしてみます。
● 新規管理者のニックネーム、ブログ上の表示名、メールアドレスを変更します。
● 投稿時用のユーザーの作成
● 投稿者用アカウントのニックネーム、ブログ上の表示名、管理画面の配色、の変更
● 投稿者用アカウントでのログインテスト
● セキュリティ上、「SiteGuard WP Plugin」プラグインのインストール、もしくは有効化
● スマホやタブレットなどからもアクセスしてみる
● 「WP Multibyte Patch」の有効化
● セキュリティ上、「Hello Dolly」などの使わないプラグインを削除
● セキュリティ上、コメント機能を停止するプラグイン「Disable Comments」
● 記事を書きやすくする、「TinyMCE Advanced」プラグインのインストール
● 「投稿」とは?「固定ページ」とは?
● パーマリンクの設定
【パーマリンクとは?】
【パーマリンクのタイプの変え方】
【パーマリンクのタイプの違いを把握する】
【パーマリンクの設定の一番よさそうなタイプと設定内容】
● 「スラッグ」とは?
● 「カテゴリ」とは?
● 「タグ」とは
● 「テーマ」とは?
● 「グローバルメニュー」とは?
● WordPressサイト全体をバックアップするプラグインのインストールと有効化
【バックアップ設定=ジョブの作成】
【バックアップの実際】
【バックアップデータの確認】
【復元テスト ~ WordPressサイトの破壊と復元 ~ 】
● WordPressのサイト丸ごとのバックアップと引っ越しや復元。もう一つの次元の違うかなり簡単な方法01
【「duplicator」での復元の方法】
● WordPressのサイト丸ごとのバックアップと引っ越しや復元。もう一つの次元の違うかなり簡単な方法02
● WordPressのサイト丸ごとのバックアップと引っ越しや復元。もう一つの次元の違うかなり簡単な方法03
● WordPressの引っ越し!移転プラグイン3選まとめ
● バックアップファイルの保管の仕方
● セキュリティ上、テーブルの接頭辞(=接頭語=プレフィックス)を変更する
● セキュリティ上、ダッシュボードの「更新」に丸い数字のアイコンがあったら、全部やる
● セキュリティ上、全てのフォルダ、「.htaccess」ファイル、HTML・js・画像ファイル、phpファイル等の属性(パーミッション)を変更する。
● セキュリティ上、「wp-config.php」ファイルの属性(パーミッション)を変更する
● セキュリティ上、Wordpressやプラグインのバージョン情報を表示させない設定にする
● セキュリティ上、使用していないテーマを削除します
● セキュリティ上、「Acunetix WP Security」プラグインで残りの細かいセキュリティを設定し、設定がどの程度になったかをチェックする
● セキュリティ上、「All In One WP Security & Firewall」プラグインで残りの細かいセキュリティを設定し、設定がどの程度になったかをチェックする
● 初期設定
★7つのプラグインのインストール
★テーマ「BizVector」のダウンロードとインストール
★投稿本文等の既定のフォントの種類、サイズ、色、の表示設定
★グローバルメニューを右寄せにしない設定、以前のBizVektorのような設定にする
★グローバルメニューのフォント設定
★グローバルメニューを「Rebuild」のまま、左寄せにして、フォントの大きさも指定
★投稿記事のリンクの色の設定
★ダブルクォーテーションなどを勝手に違う記号に置換するのを回避
★ 管理画面で投稿一覧を、更新日時順にソートできるようにする方法
★もし必要なら以下の初期設定
★パーマリンクの設定
★ダッシュボードでのその他の設定 (必ず最後に「変更を保存」「更新」「適用」などを行います。)
★固定ページを作る
★グローバルメニューのドロップダウンメニューを作る方法
★トップページ以外のサイドバーに「検索」と「カテゴリ」を表示する
★記事作成画面にて、「カテゴリ一覧」と同じように「タグ一覧」リストを表示させる
★行頭や行末にスペースをたくさん入れる
★空白行を無理やり作る方法
★URLの「ラベル」をつくりたい
★目次の作成とジャンプ設定
★他のページから、任意のWebページのラベル部分に直接アクセスさせたい場合
★固定ページと投稿ページに「最近の投稿」を表示させる
★リビジョン機能の停止と自動保存機能の停止
※Shift+TABキー、もしくは、Homeキー、Homeキー+TAB数回、を押すと、目次付近に戻れます。
● はじめに(★★ 最重要!!!必読!!騙されないために!★★)
「お名前.com」の共用サーバでの構築方法・各種設定についてご紹介させていただこうと思います。
本来Wordpressではセキュリティ上、共用サーバは使わないほうがいいらしいのですが、以下のようなご要望があることを想定してご紹介させていただきます。
・正式にWordpressを稼働させるかまだ決めていないときにテストとしてWordpressを使ってみたい
・共用サーバでWordpressを使わないほうがいいことを承知の上で、なんとか使いたい
WordPressは「簡単、簡単、」というウソ情報が多すぎるので、特に「小さなお店」で予算が無いお店は、騙されないようにしてください。安易にWeb上に在る「WordPressは簡単、簡単、」という情報を安易に信じると、どこからから損害賠償請求が来かねません。
おとなしくホームページビルダーとかで自サイト構築をしたほうがはるかに「仕事用のホームページ」としては安全、安心、というケースも少なくありません。(ブログはアメーバなどの無料サービスを使うようにして)
会社やお店でWordPressを使いたい人は本当に、本当に、ご注意を。
ぶっちゃけ、WordPressは、素人が安易に手を出していいものではありません。
(はじめるのだけは本当に簡単ですが、その後の運営は「覚悟」が無いと無理です。特に会社利用の場合は、安易に始めると顧客や取引先、同業者その他に迷惑をかける可能性が高いです。損害賠償とはそういう意味です。本当にご注意を。)
● WordPressサイトの構築・開始において必要なソフトについて
基本的に「Filezilla」などの「フォルダ名を検索できる無料のFTPソフト」が良いと思います。
ただ、レンタルサーバ指定のFTPソフトも用意しておきます。
また、「FFFTP」はファイルをサーバにアップロードする際に、拡張子ごとに属性(パーミッション)を指定し分けてアップロードできる機能があります。
しかし、ファイルやフォルダをサイト内すべてから検索する機能がありません。なので、そこは「Filezilla」で代わりにやります。
基本的に「Filezilla」のほうが高機能で、転送動作に関してだけは安定しており、Wordpressを扱う時にはいろいろなことがやりやすいと思います。
ただ、「Filezilla」には「拡張子ごとに属性(パーミッション)を指定し分けてアップロードする機能」が無いので、特定の拡張子だけを表示するフィルタをかけ、それに対して、サブフォルダ以下をすべて「再帰的に属性変更」でその代わりとします。
ただ、その機能のほうがかえって役に立つので、面倒であれば、「拡張子指定でのアップロードのとき」だけ「FFFTP」を使う、というやりかたでもいいと思います。
WordPressのインストール直後のフロンエンド部分の属性変更には「Filezilla」を使い、そののちのファイルのアップロードにだけ「FFFTP」を使う、というやりかたです。
(既存ファイルの属性変更や編集には「Filezilla」を使い、そののちのファイルのアップロードにだけ「FFFTP」を使う、というやりかたです。)
基本的には、「Filezilla」と「FFFTP」とがあれば特に問題ないと思います。
2つとも有名なソフトなのでダウンロードして使ってください。
(必ず窓の杜や作者サイトからダウンロードしてください。)
「Filezilla」
32it版と64bit版がありますので、ご自分のパソコンに合わせてダウンロードしてください。
http://www.vector.co.jp/soft/dl/winnt/net/se493400.html
「FFFTP」
こちらも 32it版と64bit版がありますので、ご自分のパソコンに合わせてダウンロードしてください。
http://forest.watch.impress.co.jp/library/software/ffftp/
OSのbit数の調べ方はこちら
マイコンピュータを右クリックしてプロパティででた画面内→システム、のところ→システムの種類、でもOKです。
もしくはこちら↓
http://tweeeety.hateblo.jp/entry/2014/05/09/160758
セキュリティ関連の作業をするときに、特に必要となります。
メモ帳を使うとセキュリティ設定やその他の設定が有効にならないので、メモ帳以外のものを用意します。
「Terapad」が無料で使いやすいので、それでOKかと思います。
(必ず窓の杜や作者サイトからダウンロードしてください。)
「Terapad」
http://forest.watch.impress.co.jp/library/software/terapad/
【phpMyAdmin】
有名な「BackWPup」というプラグインでWordPressサイトをバックアップしたとき、そのバックアップデータの復元に必要です。「BackWPup」はバックアップするだけのプラグインであって復元(リストア)機能はついていません。
「phpMyAdmin」が最初から組み込まれているレンタルサーバもあるのですが、無いサーバも割とあります。無い場合は自分でphpMyAdminをダウンロード、設置、しないと、「BackWPup」でバックアップしたデータをリストア(復元)はできません。
また、「phpMyAdmin」はセキュリティ対策などにも使えます。
最初からレンタルサーバに「phpMyAdmin」が組み込まれていれば、「BackWPup」でバックアップしたものをリストアできることもあります。レンタルサーバごとに仕様が違うので、初心者の方はレンタルサーバ選びの時点で「phpMyAdmin」のようなデータベース管理ソフトが組み込まれているかや、バックアップとリストアが簡単なレンタルサーバかをチェックしておく必要があります。
復元は・・・、例えば手動で「phpMyAdmin」の設置やリストアをするには、ホームページビルダーが扱える程度の知識ではとてもじゃないですけど太刀打ちできません。なお、「phpMyAdmin」をセキュリティ対策に使うときも、100%、ムリです。難易度高いです。
以下の記事もご参考にしてください。
・【WordPressサイトの破壊と復元】お名前.comの共用SDサーバで「phpMyAdmin」をインストールし、現在のMySQLデータベースに接続し、WordPressのバックアップデータの復元をテストする方法
https://euc-access-excel-db.com/tips/ct07_se/ct071501_wordpress/phpmyadmin_wp_restore
==============================================================================
(a)FTPサーバの登録
ファイル→サイトマネージャ→新しいサイト→「ログオンの種類」を「匿名」から「通常」にかえたのち、ホスト、ポート、ユーザ、パスワードなど必要な情報を入力。間違いなく入れたら接続テストのために、「接続」を押します。※ポートは大抵「21」なので、21を入れますが、レンタルサーバ側の設定が違うポート番号ならそれに変えます。
つながったらOKです。
証明書が不明、みたいな大きなメッセージが出るかもしれませんがOKします。
サイトマネージャはメニューの下のコマンドバー?にて、一番左のボタンを押してもOKです。
(b)ファイルの検索
コマンドバーの一番右の、双眼鏡アイコンのボタンを押して、「リモートファイルの検索」に丸ポチが入った状態で検索します。
サーバ→リモートファイルを検索、でも同じ画面になります。
(c)特定のファイルだけを表示する方法
表示→ディレクトリ一覧フィルタにて。
コマンドバーの左から4つ目(虫眼鏡アイコンの左)のアイコンを押しても同じです。
このフィルタアイコンは右クリックをするとフィルタONになり、再度、右クリックをするとフィルタOFFになります。
つまり、右クリックを繰り返すことでフィルタのON・OFFができます。
設定例
「cgiのみ表示」の場合
画面左下の「フィルタルールを編集」を押します。
画面左下の「新規」を押します。
フィルタ名を入れる「cgiのみ表示」といれます。
フィルタの条件に「以下のどれにも一致しない項目を非表示」を選びます。(つまり指定したファイルだけを表示するということです)
ファイル名はそのまま。
部分一致もそのまま。
空白のテキストボックスに「.cgi」と入力します。
「OK」を入れます。
「ディレクトリ一覧フィルタ」の画面に戻るので、右側の「リモートフィルタ」の中の「cgiのみ表示」にチェックマークを入れます。
「適用」を押します。
cgiファイル以外はみな消えて表示されます。
今、フィルタONの状態なので、OFFにするには、コマンドバーのフィルタアイコンを右クリックします。
(右クリックを繰り返すことで何度でも フィルタのON・OFFができます。)
サブフォルダをどんどん開いていって、結果的にサブフォルダが出なくなったら、それ以降のフォルダにはcgiファイルは無い、ということになります。
(フィルタONにしたとたん、トップフォルダだけになったら、そのディレクトリにはcgiファイルは無い、ということです)
同じようなかたちで、phpファイルのフィルタも作ります。
htaccessファイルはサブフォルダは探せないみたいです。
属性変更をした場合は、検索画面にてヒットしたhtaccessファイルのパスをメモして、手作業で属性変更をするしかないみたいです。
「cgiとhtaccesと.php以外」のファイルを表示したい場合は以下のようにします。
(png、jpg、txt、html、などを表示したい場合)
途中までは同じで、「以下のいずれかに一致する項目を非表示」を選びます。
条件を「+」ボタンで追加します。以下の3つを追加します。
ファイル名+部分一致+.cgi
ファイル名+部分一致+htacces
ファイル名+部分一致+.php
で、OKしてフィルタをかけます。
(d)ファイルの属性(パーミッション)の一括変更
※レンタルサーバのせいなのか、一発で終わらないことが多いので、何度もやる必要があることもあります。
前項(c)のフィルタの設定をしたのち、表示したいものを表示させた状態で、トップのフォルダを右クリック
「数値」を目的の数字に変更します。
「サブディレクトリの中の再帰」にチェックマークを入れます。
必ず「ファイルのみに適用」に丸ポチを入れて、OKを押します。
.htaccessファイルはサブフォルダ内は探せないみたいです。
僕のやり方が悪いのか「サブディレクトリの中の再帰」がなぜか利かないようで、一括変更ができません。
ただ、.htaccessファイルはそれほど数が無いので、もしすべての属性変更をした場合は、検索画面にてヒットしたhtaccessファイルを、そのパスをメモして手作業で属性変更をするしかないみたいです。
検索してヒットしたパスは、Ctrl+Aですべて選択したのち、右クリックで、「URLをクリップボードにコピー」、で、すべてのパスをコピーできます。
あとはテキストファイルにペーストして、1つずつ、htaccessのパーミッションを変更します。
このとき、貼り付けた値は たとえば
ftp://サーバー名@FTPユーザー名/ホームディレクトリ名/Wordpressディレクトリパス/wp-admin/.htaccess
ftp://サーバー名@FTPユーザー名/ホームディレクトリ名/Wordpressディレクトリパス/wp-content/uploads/backwpup-a5e982-backups/.htaccess
ftp://サーバー名@FTPユーザー名/ホームディレクトリ名/Wordpressディレクトリパス/plugins/siteguard/tmp/.htaccess
なお、ペーストしたパスの一部をコピーして、「リモートサイト」に貼り付け、Enterすると、そのディレクトリに一発で移動できます。
この場合の「一部」とは、
「/ホームディレクトリ名/Wordpressディレクトリパス/wp-admin」とか
「/ホームディレクトリ名/Wordpressディレクトリパス/wp-content/uploads/backwpup-a5e982-backups」
「/ホームディレクトリ名/Wordpressディレクトリパス/plugins/siteguard/tmp」
といったような部分です。
(必ず頭に「/」を残します。)
このような値を抜き出すには、テキストエディタの置換機能を使って、
前半の「ftp://サーバー名@FTPユーザー名」の部分と、終わりの「/.htaccess」の部分をそれぞれ一括で消してしまいます。
(多くの置換機能では、「置換後の語句の指定を何もしない=空白状態」にすることで、「検索前の語句を空白に置換=消す」ことができます。)
そのようにして出来上がったものを、FileZillaの「リモートサイト」のパス表示部分に貼り付けてEnterすると、すぐに、目的の.htaccessファイルのあるディレクトリに移動できるので、作業がラクになります。
==============================================================================
「WordPress」というソフトウェアを使っての自社サイト構築をしたい、という場合、セキュリティが非常に問題となるそうですので、「WAF」と呼ばれるアプリケーションファイアウォール機能を追加料金なしで使えるレンタルサーバが良いそうです。
「WAF(SQLインジェクションなどへの対策)」だけは素人ではどうにも構築できないので・・・。
ただ、そのほかのセキュリティ対策は、全部とはいかないまでも、素人でもやれることがそこそこあります。
なお、「WordPress」を使いたいときは、「エックスサーバー」とかの、できるだけ有名かつ、Wordpress向けの機能が充実した、ハイスペックなレンタルサーバとか、最初からWordpressに特化したレンタルサーバを使うと良いそうです。
最低限、「WAF」「phpMyAdmin」が標準装備で、かつ、バックアップデータを復元するときもパワーがあってエラーにならないところが良いみたいです。
逆に、そうじゃないレンタルサーバの場合は、むやみに重たいデータ(動画、画像、音声)などをアップしないほうがいいみたいです。
文字情報中心とか、画像でも容量を小さくしておくとか、音声データや動画は別サーバにリンクを張るとか、そういう工夫が必要となりそうです。
でないとバックアップも復元も大変になってしまうようですので。
WordPressを使う、かつ、重たいデータを扱うことが前提の場合は、迷わず、「wpXレンタルサーバー」や「エックスサーバー」などにしておくほうが良いみたいです。
ヘテムル
https://heteml.jp/
wpXレンタルサーバー
https://www.wpx.ne.jp/server/?_ga=1.83081168.775793397.1486133025
エックスサーバーを選んだ理由2:ロリポップの操作に嫌気がさしてた
https://gunirabo.com/site/wp/svchange/
WordPress専用サーバの一覧
https://matome.naver.jp/odai/2141606540691333901
WordPressを簡単に導入できるレンタルサーバー & クラウドサービス
http://smaafi.net/tech/778
※なお、「phpMyAdmin」が標準装備されてないレンタルサーバ屋さんを使う場合は、データベースの不調時に修復・復元する際に、「phpMyAdmin」のインストールから始めないといけませんが、これは私たち素人にはなかり敷居が高いですので、わかる人や業者さんにやってもらうのも一つの手です。
ただ、例えばレンタルサーバYWordpressのことなどに詳しい学生さんとかにやってもらうにしても、なかなかに大変なので、無料はかわいそうですのでいくらかのお礼をしたほうが良いと思います。
「phpMyAdmin」が標準装備でないと、Wordpress関連の全データのバックアップのほうは誰にでも簡単・楽にできるものの、復元のほうは、特に私たち素人の場合はかなり苦労します。(ここではその事例・復元体験記もご紹介したいと思いますが…。)
【Wordpress初心者にとっての落とし穴~バックアップと復元とセキュリティ】
WordPressは「BackWPUp」といったプラグインを使うことで「バックアップがラク!」という情報がWeb上にすごく多いですが、ことさら強調されすぎなような気がします。
たしかにWebデータベースやHTMLなどにに詳しい人からすればラクなのでしょうけど、レンタルサーバ屋さんがお客様の対象にしている「単なるブログをなんとなく始めたいだけであって、特にパソコンに詳しいわけではない私たち素人や小さなお店」には、実際問題としてはかなりハードルが高いです。
Web検索によると、バックアップや復元もスペックの低いレンタルサーバだと失敗するようですし・・・。
Webでも本屋さんでも、できる、できる、簡単、簡単ってそればっかりが強調されているのですが、では実際に「通販やフリーメール、オークション、大手ブログを利用するだけ」の人がやる、ということになった場合、「これは絶対に簡単じゃないな」と素直に思います。
一番の壁はまずは「用語の壁」と「Web知識の壁」かなと思います。
そして、バックアップに関するWeb記事はGoogleですぐにヒットしますが、それに対して、「復元」に関するWeb記事のほうは、「私たち素人にもできそうな簡単なやり方を解説したページ」は「皆無」と言ってもいいと思います。
少なくともファイル転送時のパーミッション変更(権限属性の変更)や文字コードやPHP、MySQLについて入門程度の理解のある人でないとかなり苦労します。
バックアップはラクでも復元が難しいというのはある意味、「それってどうなの?」と感じます。
素人(僕も含め)じゃ復元できないのにバックアップの意味があるのか?最初からWordpressなんて使わずに、「普通にホームページ作成ソフトでHTML転送だけでホームページを作ったり、ブログ自体もアメーバとかでレンタルしたほうがいい」のではないか?とかなり悩みます。
WordPressは初期設定のまま使わずに放置しているとウィルスを埋め込まれるなどをされて賠償を求められるなど、セキュリティがらみの「社会的責任」が、「普通のHTML転送だけでホームページを作り、ブログはアメーバなどでやる場合」よりも各段に大きいですし、バックアップと復元の成否がレンタルサーバのスペックに多少依存するらしいため、悩むことになると思います。
動画や重たい画像、音声ファイルを大量に使う本格的なWebサイト構築を考える方で、Wordpressを考えている方は、バックアップとセキュリティと復元、レンタルサーバのスペックで苦労すると思いますので、よほど慎重に、プロの方に相談しながらレンタルサーバ選びから始めることをお勧めします。
ほとんど文字だけ、ということなら、Wordpressを試すのもいいと思いますけど・・・。
なお、「普通のHTML転送だけでホームページを作り、ブログはアメーバなどでやる方法」は動画や画像、音声ファイルをたくさん使っても、バックアップも復元も失敗はないし、Wordpressよりは、数段、セキュリティリスクは減らせると思います。
サイトのデータベース(例えばWordpressサイトに紐付けされるMySQLというデータベース)の構造上の欠陥を突いて、『ユーザー名とパスワードを知らなくても、ブラウザのURLの入力欄やログイン画面のパスワード入力欄にて、悪意のある命令文を注入(インジェクション)するだけで』、中身のデータを見たり、書き換えてしまったり、という不正アクセス、攻撃のことです。
各レンタルサーバーにてWordpressをインストール(≒ブログをインストール)すると、既定の動作では、「wp_」という接頭語が付加された表が、「Wordpressサイトに紐付けされるMySQLというデータベース」の中に自動生成されます。(表のことをテーブルともいいます。以下、テーブル、とします。あと、接頭語はプレフィックスとも呼ばれます。)
wp_commentmeta、wp_commentmeta、wp_links、wp_options、wp_postmeta、wp_posts・・・といったように12個くらいのテーブルが自動生成されます。
このwp_×××、というテーブルは、どのWordpressサイトでも、既定の名前はまったく一緒です。
SQLインジェクションという攻撃では、悪意のある命令文を作るときに、このテーブル名を直に使うそうです。
ただ、悪い人は、その命令が本当に侵入に成功するかしないかは、前もってはわかりません。
実際に侵入できたことでしか「あ、こいつwp_って接頭語を使ってたんだ」とは分からないのですが、でも、「このサイトセキュリティ甘いな」とわかれば「多分wp_の部分も変えてないだろ」ということで、攻撃をしてきます。
そのとき、「wp_」の部分だけでも大文字小文字を含めたりして変えておけば少し安心で、実際、悪い人が悪意の命令に書くのに使うのは「wp_」とか推測しやすい他の文字列だけですから、すぐにはSQLインジェクションは成功しません。
逆に侵入されてしまえば、データベースの中には、ユーザー名やパスワードも記録されているので、もし万が一自由にいろいろ見られてしまうととてもまずいことになります。ウィルスを埋め込まれるようなこともにつながるかもしれません。(僕は専門家ではないので、本当にそういうことができるのかどうかわかりませんが・・・、でもできるらしいです。)
なお、「WAF」を設置・有効にするとそういう欠陥や悪意のある命令文の注入などから守ってくれます。
ごく一般的に言われる「ファイアウォール」の機能では守ってもらえないので、「WAF」に利用が毎月の料金に含まれているレンタルサーバを選ぶことが良いと思います。
https://www.testera.jp/blog/?p=510
https://www.lancork.net/2014/05/sql-injection-check-with-havij/
「WordPress」は見栄えの良い(最低限の)自社サイトやブログサイトをWebの知識が全くない人でも簡単に作ることができます。
しかし、敷居も低くて便利すぎるがゆえに、セキュリティ知識のない利用者が増えたことから、ランサムウェア(身代金要求ウィルス)を仕込まれる標的にもされているそうです。
参考URL:「STOP!ランサムウェア」 WordPress運用者による拡散防止のための脆弱性対策
https://www.brain-solution.net/blog/web-product/stop-ransomware/
↑Wordpressを使わずに普通にFTP転送だけでホームページを作る場合、こんなにたくさんのセキュリティ事項なんて必要ありませんので、WordPressを使うことのリスキーさが分かっていただけると思います。
例えば個人の料理のレシピサイトなどで放置されているようなサイト、あるいは、放置されていなくても対策がなされていないWordressサイトにウィルスやウィルスを呼び込むソフトを埋め込まれたりします。
アクセスする側は、国内サイトだから安心、といったことはまったくないそうです。
別の角度からいうと、Wordpressサイトか違うのかが外部からわかりやすいほうが、アクセスする側にとってはいいのかもしれません。
埋め込まれたサイトにはアクセスしただけで感染したり、また、もしレンタルサーバで自社のWordressサイトを立ち上げていれば、そのレンタルサーバ本部から「今、あなたのホームページが攻撃を受けています。対策しないとあなたのレンタルサーバのアカウントを剥奪します」といったような連絡が来てしまうそうです。怖くなってしまいますね。
でもだからといって、なめていると書類送検くらいはされかねません。
というわけで、「WordPress」を扱うこと自体に、小さからぬ「責任」が発生してしまいます。かなりの注意が必要です。
でも、そういう私もセキュリティ知識がそれほどありません。
ですので、ここではセキュリティ知識のない人間でもそこそこセキュリティ強度を上げるようなTipsもご紹介していきたいと思います。
「WordPress」はスマホからも自社サイトの編集ができるので、大変便利なため、作業効率アップの観点からも、できればセキュリティ強度を上げて使えたらなと思います。
少しでもご不安があれば、セキュリティ設定だけでも、専門家に見てもらい、設定してもらい、教えてもらうとよいと思います。
例えば、Web検索してみると、こんな頼もしい方々がいらっしゃるようですので、ご相談されると良いと思います。
西沢直木のIT講座(Wordpressの個別指導等)
http://www.nishi2002.com/
Mr. Fusion(Webサイトコンサルティング等々)
https://mrfusion.co.jp/
【ワードプレス SSL化】無料で自社サイトをSSL(http→https)化した全手法まとめ
https://mr-fusion.net/free-sslmethod/
WordPress相談:ニイハチヨンサン
http://2843.jp/tutorial/restore-website-powered-by-wordpress/2014/01/25/
(復元やメンテナンスモードにする方法について)
http://2843.jp/contact/
【WAFとは】
WAF(Web・アプリケーション・ファイアウォールの略)です。
Google検索もこの語句でしてみてください。
SQLインジェクションなどの不正攻撃から自社サイトを守ってくれます。
世界初のクラウド型WAF『Scutum(スキュータム)』
https://www.scutum.jp/outline/waf.html
WAFといえば【攻撃遮断くん】
https://shadan-kun.com/?gclid=CMOZtuiD0NECFQoEKgod7WwJSw
「WAF」が本当に効いているかを試すには、自分のFTPサイトにphpMyAdminというデータベース管理ソフトをインストールして、その中で、SQL命令を実行して403エラーになれば、多分、効いている、ということのようです。僕自身のサイトではそんな動きでした。
もっと簡単な確認方法があるとも思います。
(実際にSQLインジェクション攻撃を自分のサイトにしてみるとか)
WAFがこのように効いていれば、テーブルの「wp_」を変え忘れていても安心です。
でもWAFをONにし忘れていたり、WAFの存在を知らなければOFFのままですから、テーブルの「wp_」を変え忘れているとセキュリティリスクになります。
注意が必要です。
【レンタルサーバのユーザー名とパスワードについて】
一般的に、レンタルサーバを借りた場合、そのユーザー名(アカウント名などとも呼びます)とパスワードについては大抵、
・会員IDとそのパスワード
・管理者アカウントとそのパスワード
の2種類のそれがあります。
会員IDとそのパスワードは、会員ログインに使います。
会員IDの画面で行うことは料金支払いの設定や登録情報変更などです。
管理者アカウントとそのパスワードは、コントロールパネル画面へのログインに使います。
コントロールパネルで行うことは、レンタルサーバの各種機能の利用です。
ドメイン管理は別会社や別組織でもやってもらえます。
僕は、お名前comで一括でやってもらってます。
==============================================================================
フリーウェアの「TeraPad(最終バージョン1.09)」でよいと思いますので、ダウンロードして使えるようにしておきます。
TeraPad - 窓の杜ライブラリ
http://forest.watch.impress.co.jp/library/software/terapad/
テキストエディタはレンタルサーバのセキュリティ設定に必要となります。
なお、Windowsに付属の「メモ帳」は文字コードが変更できないので使えません。
メモ帳で設定したセキュリティ設定は、レンタルサーバ側がウィンドウズパソコンではないため、いくら頑張っても有効にはなりません。
==============================================================================
コントロールパネルでできることは例えば次のようなことです。
【概要について】
管理者アカウントのユーザー名やパスワードの変更
サブドメインの追加・変更等
各種サーバーの名前などの情報(Webサーバ、メール送信サーバ、メール受信サーバ、FTPサーバ、など)
など
【Webサーバなどの設定について】
FTP・SSHアカウントの設定(SSHは暗号化通信でサーバを操作する方式です)
アクセス制限をする設定
CGIの設定
アクセス解析など
WordPressの利用
WAFの設定(レンタルサーバサービスに無料であるか、有料で入っている場合)
など
【自社ドメインメールサーバでのメール関連の各種機能の設定】
社員のメールアカウント設定(ユーザー名やパスワード)
メールの転送設定
迷惑メール対策
ウィルスチェック
など
【データベース設定】
MySQLなどのWordPressと連携利用するようなデータベースの設定など。
==============================================================================
● WordPressに関する、そのレンタルサーバの注意喚起事項や規約・設定の各案内を必ず読む。
ここで指定されていることは最低限行わないといけません。
逆に言うと、ここに指定されているセキュリティ対策を行えば、そのレンタルサーバに限っては、Wordpressの利用が少し安全になる、ということになります。
おそらくウィルスを埋め込まれるようなことからはそこそこ遠ざかると思います。
ただし、別のレンタルサーバに引っ越したら、そのレンタルサーバのWordpressのセキュリティせていを読み、一から設定しなおします。
【重要】 WordPress セキュリティ対策のお願いとご案内
契約者以外は閲覧できないURLにあります。
【共用サーバーSD】.htaccessを使ってアクセス制御はできますか?
https://help.onamae.com/app/answers/detail/a_id/14053/
==============================================================================
● WAFの有効化
コントロールパネルから、WAFが簡単に有効にできるのなら、有効設定にしておきます。
==============================================================================
● レンタルサーバコントロールパネルメニューにおける削除体験用のWordPressのインストール
「お名前.com」の共用サーバの例です。「WordPressインストール」メニューより。
「かんたんブログインストール」画面の「新規イントール」ボタンを押します。
アプリケーション:Wordpress
バージョン: 4.7-ja-jetpack
説明:PHPで動作するオープンソースブログソフトウェア
と出るので、
「アクション」の列の「作成」ボタンを押します。
「WordPress インストール」画面に切り替わり、若干の設定内容が出ます。
「インストールURL : (ブログURL) 」wordpressをインストールするフォルダを決めます。
指定した文字列と同じ名前のディレクトリが、FTPディレクトリのルートに作成され、その中にwordpresがインストールされます。
多くのレンタルサーバが似たような設定画面を持っていると思います。
意味も同じです。
ただ、このディレクトリ名(インストールURL)は、どんな複雑な文字の並びを使っても、初期設定のままだとログイン画面が機械(プログラム含め)に簡単に開けられてしまうのでかなり危険です。例えば、ワードプレスのトップページのURL(=インストールURL)に「/admin/」とつけてアクセスし直すだけで、ログイン画面が簡単に開けてしまいます。
のちほど、「SiteGuard WP Plugin」というセキュリティ関連のプラグインを使って、機械には簡単にログイン画面にアクセスできない形にしますので、それまで暫定的に既定値のままで行きます。
ただ、後からURLを変更すると「SiteGuard WP Plugin」があったとしても、自分もアクセスできなくなるなどのトラブルも起こります。(つまり、最初から全部やりなおし)
なので、もし何か入れるとしたら、よほど考えて、後から変更せずにすむものにします。
また、「01」とか「tips」とか「nikki」等々の単語・文字列・カテゴリ名などを入力し、「WP」や「Wpress」といった安易にWordpressを連想させるようなものは入力しないようにします。
「ブログのタイトル :」適当に書きます。「テスト」、でもいいです。
「テーブル接頭語 :」に「wp_」とありますが、このままだとセキュリティ攻撃の対象になりやすいそうなので変えます。
「IRDTR_」とか「pYha_」など、意味不明なものに変えます。
何かあるといけないので、必ず設定値はメモっておきます。
(※テーブル接頭語→WordPressはMySQLというデータベースソフトの複数の「表」の中に文章データなどを格納します。その「表」は自動的に作成されるのですが、そのときに『自動的に付けられる「表」の「名前」の先頭』に、強制的に付加されるのが「テーブル接頭語」です。Wordpressの既定の設定では「wp_××テーブル名××」という形で「wp_」が勝手に接頭語として付加されるのですが、その「初期値」は悪意のあるユーザーも知っているため、悪事がしやすいということのようです。なので、テーブル接頭語は初めから変えたほうがよいということのようです。(※接頭語=プレフィックスとか接頭辞などとも呼ばれます)
「管理者パスワード :」については、あとでこの管理者アカウントは消してはしまうんですが、とりあえずわかりにくくくて長いパスワードにします。
オフィスソフトのプロダクトキーとメールメールパスワードを記号でつないだり大文字小文字を混ぜたりします。パスワードは一般的に、短いパスワードを多段階的に設定するよりも、とにかく、意味不明で、「長い」文字のほうが強度が増すそうですので、とにかく大文字小文字、記号を含めた意味不明な文字列を「20文字以上」つなげます。
なので、オフィスソフトのプロダクトキーなどと組み合わせると記憶しておきやすいので少し楽です。今回のように一時的な場合はなおさらです。
なお、のちにWordpress上で、新規の管理者アカウントを作成するときは、管理画面の中にある自動のパスワード生成プログラムが25桁の複雑なパスワードを作ってくれるのでそれを使います。
ワンタイムパスワードのように、ころころとパスワードを手動で変えていくことは、バックアップと復元の時、特に復元の時に困るので、やめておき、25桁の長いパスワードを暗号化したり、パスワード管理ソフトを使用するなどして保存・保管しておきます。
ログインURLも同様に、変えたら世代的にかならずメモで残しておきます。でないと復元後にログイン画面を出せなくなります。
※注意
Wordpressが調子悪くなって、過去の状態までに復元をした場合、最新のWordpressのログインURLの設定や各種アカウント、ユーザー名、パスワードは、過去のバックアップデータを吸い込んだ時点で(復元が完了した時点で)すべて消えてしまいます。
復元後は、過去にバックアップした時点でのログインURL、ユーザー名、パスワード、でないとログインできなくなります。ご注意ください。
ですので、それらがそろわない場合は、復元できても、ログインできず、Wordpressが使えないかもしれません。
ただ、MySQLデータベースのデータと、それ以外のデータも全部を書き戻せば、ブラウザからの閲覧は従来のURLでできると思いますので、そこまで復旧できたら、何か解決策が無いか、プロの人に相談してみてください。
逆にいうと、ログインURLや管理者ユーザーの名前やパスワードは、むやみやたらに変えないほうがいい(ワンタイムパスワードもよし悪し)、そして、パスワードは必ず20文字以上の記号も含んだ複雑なものにしておき、暗号化などをして保存しておく、ということが大切になってくると思います。
(Wordpressで新規アカウントを作成するときにボタン押下で自動生成される25桁くらいのパスワードでいいと思います)
なお、ユーザー名もパスワードもわからなくなってしまった場合は、「phpMyAdmin」というソフトを使うと以下のようなこともできるようなのでプロの人に頼めば何か方策があるような気がします。
【Wordpress】ログイン用ユーザー名とパスワード両方とも忘れてしまった時のphpMyAdminを変更しない初心者向け対処方
http://webtrace-cuisine.com/201305/wpphpMyAdmin/
あと、「管理者メールアドレス :」には、いつも使うメールでも、使い捨てのメールでもどちらでもいいので入力します。ただし、使い捨てのメールアドレスを使う場合は自分がよく使うメールソフトで必ず受信できるようにしておきます。でないと不審なアクセスなどがあったときや、レンタルサーバ会社が警告を自社サイトに向けて警告を発した場合などに気が付けず、いろんな不利益や社会的責任、賠償、などを負うことになりかねないためです。
入力が完了したら、「確認画面へ進む」ボタンを押します。
バージョン :4.7-ja-jetpack
ブログURL :http://www.xxxxxxxxx.co.jp/data01
データベース :MySQL / 新規作成 /
テーブル接頭語 :xxxxx
ブログタイトル :xxxxx
管理者パスワード :xxxxxxxxxxxxxxxxxxxxxxx
管理者メールアドレス :xxxxxxxxx@xxxxxxxxx.co.jp
と内容確認の画面になるので、内容がOKなら「決定」ボタンを押します。
管理画面URL :http://www.xxxxxxxxx.co.jp/data01/wp-login.php
管理者ユーザ名 :xxxxx
管理者パスワード :xxxxxxxxxxxxxxxxxxx
xxxxxxxxx@xxxxxxxxx.co.jp
==============================================================================
● WordPressをインストールすると何がどう配置されるか?
各レンタルサーバの「WordPressのインストールサービス(ブログのインストールとも呼んだりするみたいです)」の場合、次のような感じになります。
まず、Wordpressサイト1つあたりに、(a)「Wordpressのプログラム部分」と、(b)「それに紐付いたバックエンドのMySQLデータベース」の2つがインストールされます。
(a)(b)それぞれがどんな内容かは・・・、大雑把に言いますと・・・
まず、(a)「Wordpressのプログラム部分」のほうは、「投稿記事のテキストデータをWebページ化して自動表示するプログラム」や「”テーマ”の実体プログラムファイル」「”プラグイン”の実体プログラムファイル」「画像データ」など、という感じみたいです。
一般的なデータベースシステムとして見た場合、「フロントエンド」と呼ばれる部位におおむね相当すると思います。
おおむね、と書いたのは、僕がWordpressの専門家ではないので、完全にフロントエンドなのかどうかわからないためです。でも見たところ、ほぼ、そんな感じみたいです。
次に、(b)「それに紐付いたバックエンドのMySQLデータベース」のほうは、投稿された記事の「テキストデータ部分だけ」、とか、Wrodpressサイトや投稿等々の基本設定、プラグインやテーマなどの「各種の設定内容」、が格納されたデータベース、という感じみたいです。
こちらは 一般的なデータベースシステムとして見た場合、「バックエンド」と呼ばれる部位に相当すると思います。
※フロントエンドとバックエンドについて
(フロントエンド http://e-words.jp/w/%E3%83%95%E3%83%AD%E3%83%B3%E3%83%88%E3%82%A8%E3%83%B3%E3%83%89.html
からの引用)
ユーザからの操作の受付や画面表示などを担当するGUI(グラフィカルユーザインタフェース)プログラムなどがこれに当たる。フロントエンドからのデータ入力や指示などを受けて、ユーザから直接見えないところでデータの処理や保存、処理結果の出力などを行う要素は「バックエンド」(back-end)という
(バックエンド http://e-words.jp/w/%E3%83%90%E3%83%83%E3%82%AF%E3%82%A8%E3%83%B3%E3%83%89.html からの引用)
ユーザなどと直接やり取りをする要素のことを「フロントエンド」(front-end)と呼び、バックエンドはフロントエンドからのデータ入力や指示などを受けて、処理を行って結果を出力したり、記憶装置に保存したりする役割を果たす。データベース管理システム(DBMS)などがこれに当たる。
(a)は契約したレンタルサーバのFTPディレクトリの中に、「wp-admin」「wp-content」「wp-includes」といったフォルダの格納場所をルートとして、すべて「ファイル」としてインストール(配置・格納)されます。「.php」拡張子のファイルが割と多く目につきます。「PHP」というMySQLと相性の良いプログラム言語で書かれたプログラムのようです。
(b)のほうは、契約で自分にあてがってもらった「MySQLデータベース」のなかに、「1つのデータベース」として生成されます。お名前.comでは複数のWordpressサイトを作れるので、複数のMySQLデータベースをインストールできます。これはFTPディレクトリからは見えないのか見えているのか、よくわかりません。
MySQLも実体は「ファイル」のようですが、「MySQL」というフォルダがあるみたいです。
また、「wp-config.php」ファイルにデータベース名が記録されますので、そのデータベース名のフォルダかファイルが生成されているんだと思います。
FilezillaなどのFTPクライアントソフトで「MySQL」というフォルダを検索して出てこなかったら、MySQLはユーザーからは見えない設定になっているのかもしれません。
だいたいどこのレンタルサーバでもこのように、Wordpressを1つインストールすると、「プログラム部分(おおむねフロントエンド)」と「データベース部分(バックエンド)」の2つが所定の場所に配置・格納されます。
図式的には、こんなイメージです。
レンタルサーバインストール
↓
フロントエンド(Wordpressプログラムの各種ファイル)はFTPサイトにインストール(配置)され、
↓
バックエンド(Wordpressに紐付いたMySQLデータベース)はレンタルサーバによって決められたMySQLエリアの中にインストール(追加)される。
フロントエンドはFTPクライアントソフトによって管理でき、
バックエンドは「phpMyAdmin」といったソフトを使って管理できる。
(「phpMyAdmin」は、特に復元やプレフィックスの手動変更の場合に必要。使っているプラグインにもよる)
ただし、「phpMyAdmin」はレンタルサーバが標準で用意してくれる場合と、自分でインストールしなければならない場合がある。
自分でインストールするのは、Webやデータベースの理解が無いとかなり難しい。
なので、最初から「phpMyAdmin」が標準装備のレンタルサーバがラクちん。
なお、Wordpressのバックアップをしてくれるプラグインは、このフロントエンドとバックエンドの2つを同時に、あるいは、別個に、ユーザーの都合でバックアップしてくれます。
なので、復元するときも、この両方を復元することが必要です。
そうしないと、ログイン画面が現れてくれないことが多いのではないかと推測します。
なお、復元は、ただ上書きするだけでは正常にもとには戻りません。
バックアップをしたプラグインによっては、復元時に、phpMyAdminというソフトが必要な場合もあれば、必要ない場合もあります。
phpMyAdminというソフトは、標準装備のレンタルサーバもあれば、そうじゃなく、サポート外だから自己責任でやってください、というところもあります。
でも、これがあるレンタルサーバのほうがバックアップが「2通り以上=複数の異なったアプローチ方法=複数のプラグイン」で実行できるので、すごく安心です。
(どのバックアッププラグインが正常動作するか、レンタルサーバサービスと相性がいいか、は、やってみないとわからないですし、データの全体の容量が増えてからも変化するみたいです)
※バックアップは手動でこまめにとって、とってはダウンロード、を繰り返して、FTPディレクトリを少しでも軽くしたほうがいいみたいです。
(バックアップするとFTPディレクトリにバックアップされるのが大抵デフォルトの動作ですので。直接外部の記憶装置にバックアップしてくれる設定もありますが、なんとなく怖いので・・・)
あと、「Wordpressの削除(ブログの削除)」のほうは、レンタルサーバによって違う動きをするみたいです。
2つともを全消しするところもあれば、別個に削除するところもあるみたいです。
例
お名前.com→2つを別個に削除
NTT OCN Biz××→2つともを1回の操作で全消し
==============================================================================
● セキュリティ上、Wordpressとそのデータベースの削除のテスト
自分のレンタルサーバのコントロールパネルからの削除がどんなものなのか、何と何を削除すべきなのか、削除するとどこまでデータが戻らないものなのか、理解しておきます。また、コピペメモ等々もしておきます。
削除操作をすることで、何が消えて、何が戻る可能性があるのかを多少なりとも知っておくと、Wordpressサイトの運営がスムーズになると思いますし、単純にセキュリティ上も「気が楽」になります。
特に、(自分の個人サイトではなく)お店や会社のサイトとしてWordpressを使う決心をした場合は、この作業は絶対にやっておいたほうがいいです。
本格稼働前にテストを何回もしたて作成と削除を繰り返したり、消し忘れのWordpressサイト(=セキュリティリスク)を削除するときなどにもとても役に立ちます。
まず、Wordressの削除の場合、
(a)FTPクライアントソフトでアクセスできるWordress関連のファイル群(≒フロントエンド)と、
(b)削除したいWordressに紐付いてるMySQLデータベース(バックエンド)
の2つを削除しないといけません。
(同様にバックアップの時もその2つをバックアップしないといけません)
また、Wordressサイトは1つのレンタルサーバ(つまり自分のホームページ)にいくつでも作成できるので、もし複数のWordressサイトを自社サイト内に作った場合は、どのWordressデータとMySQLデータベースが紐付いているかをメモしておかないと、削除したくないデータベースを削除してしまい、サイトが動かなくなってしまうことがあります。
紐付きを調べるには、契約したレンタルサーバの管理画面(コントロールパネルなど)で確認できる場合もありますが、基本的にはFTPソフトでWordpressがインストールされたフォルダを探し、その中にある、「wp-config.php」に書かれています。(調べ方は後述します。)
ただ、ここでは初めてのWordpressのことをやっているので、Wordpressデータも紐付いたMySQLデータベースも、共に、「1つしかない」という前提、また「お名前.com」のコントロールパネルでの削除操作を前提として話をすすめます。
では、まず1つ目の削除から・・・。
FTPソフトでアクセスできるWordress関連のファイル群の削除です。
FTPソフトから直接削除すると、のちのち面倒なことになりかねないので素直にレンタルサーバのコントロールパネルから削除します。
コントロールパネル→「WordPressインストール 」→アクション列の「削除」ボタンを押す
アプリケーション :WordPress
バージョン :4.7-ja-jetpack
インストールURL :http://ng;a;h.com
と確認画面になるので、
「アプリケーションをアンインストールします(インストールURL配下のファイルを削除します)」
のチェックボックスにチェックを入れる。
ここでチェックを入れるて「決定」ボタンを押すとすべてが削除されて文章は何ももとに戻らないので、必ず本当に良いかどうか、確認してからチェックを入れる。
大丈夫ならチェックを入れた状態で「決定」ボタンを押す。
Wordpressがらみのデータベース部分以外のデータ(≒フロントエンド)が全部消えます。
画像などがどこか別のフォルダに残っているかもしれませんが、未確認なのでチェックが必要です。通常はそれらもすべて削除されます。
FTPクライアントソフトで確認できます。
レンタルサーバごとに違うかもしれません。
もし画像も一緒に削除されてしまうなら、一応、画像データはFFFTPなどで、事前に吸いだして、自分のパソコンなどに入れておきます。
または、バックアップ専用のプラグインを使ってバックアップします。
最後に2つめの削除を。
Wordressと紐付いていたMySQLデータベースも削除します。
コントロールパネル→「MySQL」にて、とりあえずデータベース名の列を見て、なんだかよくわからない英数字の羅列があったら、それがデータベースの名前です。
このデータベースが1つしかなかったら、明らかに、それがWordressと紐付いていたMySQLデータベースですので、次のようにして消します。
「削除」ボタンを押して、次のページに行きます。
「確認チェックボックス(データベース、データベース内のデータも削除します) 」にチェックを入れます。
「決定」を押します。
これで1つのWordressとそれに紐付いたMySQLデータベースまで、つまり、Wordressのサイト丸ごとを削除できました。
なお、もし、この何もかも消えてしまった状態から、その消したWordpressのサイトを再度、復元するには、あらかじめ、「BackWPUp」プラグインにて、
(a)FTPクライアントソフトでアクセスできるWordress関連のファイル群と、
(b)削除したいWordressに紐付いてるMySQLデータベース
の2つがバックアップされていて、レンタルサーバのスペックに対してデータ量がおおむね下回っていれば、復元することができます。
(ただし、私たち素人にとっては簡単ではないですが…。プロにそのバックアップデータを渡せば、わりと簡単にやってもらえると思います。)
ちなみに、ミスで正規の(a)を消してしまった場合は、
(b)削除したいWordressに紐付いてるMySQLデータベース
をまだ消していない場合で、
(a)FTPクライアントソフトでアクセスできるWordress関連のファイル群
のデータがたまたま「直前の状態」がバックアップされていれば、FTPソフトでそれを再度同じ場所に書き戻すだけで、Wordpressサイトが復元できるかもしれません。
ダメな場合もあるかもしれませんが、複数のWordpressサイトを作っていて、誤って消したくないほうの(a)のデータを消してしまった場合、でももしそのバックアップがあれば、お試しください。誤って消したWordpressサイトを復活させることができるかもしれません。
逆にしても同じことです。
サイトのデータの整理で誤って(b)のデータを消してしまって、(a)のデータの残っている場合、もし直前の(b)のデータがバックアップしてあれば、それを「phpMyAdmin」などで書き戻すことで誤って動かなくしてしまったWordpressサイトが動くかもしれません。
直前の状態がバックアップされていなくても、何かがバックアップしてあれば何かを戻せるかもしれないので、バックアップデータがあったら、あきらめずにプロに、どこまで何が戻りそうかご相談ください。
なんにしても、自社のサイトを整理することになったら、必ず、事前に、(a)(b)両方のデータを、「BackWPUp」プラグインにて、バックアップしておくことがまず第一かと思います。
==============================================================================
● セキュリティ上、テスト用や消し忘れのWordpressやphpMyAdminを必ず削除する
本番とは別に、「テスト用」のWordpressをインストールしていた場合は、そちらのほうがセキュリティ設定がしっかりしていないために外部からの攻撃で不正侵入を受けてしまう確率が高いので、必ず前述の「Wordpressの2つのデータ」、つまり、(a)「Wordpressのプログラム部分(フロントエンド)」と、(b)「それに紐付いたバックエンドのMySQLデータベース(バックエンド)」の2つを削除しておきます。
※以下、Wordpressのプログラム部分を「フロントエンド」、それに紐付いたバックエンドのMySQLデータベースを「バックエンド」と呼ぶことにします。
また、過去に、テストしたまま忘れてしまい、そのまま丸ごとを放置してしまったWordpressが無いかも確認しておきます。
発見したら、そちらも必ず、フロントエンドと、バックエンドの2つを削除しておきます。
なお、バックエンドのMySQLデータベースを管理するソフト「phpMyAdmin」についても、もしご自分自身でインストールしていたなら、これも侵入されるリスクとなりますので、削除しておきます。セキュリティやWebの知識が豊富な方はよいのですが、私たちのようにそういうことに詳しくない素人は絶対に消しておいたほうがいいと思います。
「phpMyAdmin」に関してはWordpressの場合とは違い、特に私たち素人の場合は、本番用であってもテスト用であっても用事が済んだら必ず削除します。
バックアップデータの復元やテーブルのプレフィックス変更など、必要な作業が終わっていたならすぐに全部、躊躇せず消します。もちろん消し忘れも。
必要なときに本サイトでやり方を見てインストールし直せばいいですし、あとから何度も使うような場面もめったにはありませんので。
ただし、phpMyAdminがレンタルサーバの標準のサービスになっていた場合は、それはしなくてもOKです。
たとえば、レンタルサーバの管理画面を見て、「Wordpress」や「ブログ」関連、もしくは「MySQL」とか「データベース」といったメニューの付近に「phpMyAdmin」という文言を含んだメニューがあれば、大抵は標準装備となっています。わからなかったらレンタルサーバに問い合わせてチェックしてください。
★ 削除忘れの見つけ方と削除するときの注意
******** WordPressデータの場合 ********
基本的にはレンタルサーバの管理画面にログインして、「Wordpressの削除」とか「ブログの削除」のような画面から削除します。
ただしそのとき、「Wordpressを削除」の画面から、フロントエンドとバックエンドの2つともを一斉削除できるレンタルサーバもあれば、片方ずつ別々に削除が必要なレンタルサーバもあります。
なので、自分のレンタルサーバがどちらなのかをしっかり確認して、必ずフロントエンドとバックエンドの2つともを削除してください。
一斉削除できるレンタルサーバであれば、この一回の削除作業で完了します。
一方、複数のWordpressをインストールできるレンタルサーバの場合は、「Wordpressの削除」とか「ブログの削除」のような画面から調べていったときに、現在のブログタイトルと違うものが消し忘れだと思いますので、基本的には消していいと思います。
ただ、「ずっとアクセスし忘れてたけど実は必要なWordpressサイトだった」、ということが無いように、一応事前にサイトにアクセスして、トップ画面を見ておきます。
それでも削除OKだったら削除します。
複数のWordpressをインストールできるレンタルサーバの場合で、フロントエンドとバックエンドを別々に削除しないといけない場合は、削除作業が多く、どれがどれかわからなくなる場合もありますので、その場合は慎重に削除作業を進めてください。
削除する前に「レンタルサーバーのサポートさんに聞く前に自分でいろいろ調べてみたい、という方は・・・」の行以降に書かれていることを必ず全部実施してください。
また、FTPソフトで「自分が作った覚えのないフォルダ」は全部開けて見てみます。
(FilezillaなどのFTPクライアントソフトで検索をかけてもいいです。)
そしてその中に、「wp-admin」「wp-content」「wp-includes」といったようなフォルダを見つけたら、それがWordpressのフロントエンドがインストールされているフォルダですので、それも全部削除します。
ただし、見つけたらいったん場所だけメモして作業を中断します。
そして丸ごとの削除をする前に念のために、本番用のWordpresでないかを必ず確認します。
そのあとに削除します。
わからなかったらレンタルサーバのサポートに聞いて、電話などでついていてもらい、一緒に削除してもらいます。
レンタルサーバーのサポートさんに聞く前に自分でいろいろ調べてみたい、という方は、FTPソフトなどで調べてみます。
例えば、「FileZilla」という無料のFTPソフトでは、「再帰的にファイルを検索します」という双眼鏡のアイコンのボタンから、「ディレクトリのみの検索(=フォルダのみの検索)」ができます。
ですので、それで「wp-admin」「wp-content」「wp-includes」といったようなフォルダを検索します。
同じ名前のフォルダが複数ヒットしたら、どれが消し忘れでどれが本番用かをチェックします
そのあと必ず(サポートの人と話すときに使えるかもしれないので)消し忘れていたほうのインストールされているフォルダパス(ディレクトリパス)と、「wp_config.php」というファイルの内容をテキストファイルなどにコピペメモしておきます。(「wp_config.php」を開くのも、メモするのも、自分のパソコン内にメモするだけならメモ帳でも大丈夫です。そうではなくて、内容の書き変えをしてアップロードするときはTeraPadなどでないとだめです。)
「wp_config.php」は「wp-admin」「wp-content」「wp-includes」といったフォルダと同じ階層にあります。
その中で必要な情報は、次の箇所です。
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'データベース名:レンタルサーバ自動設定');
/** MySQL database username */
define('DB_USER', 'ユーザー名');
/** MySQL database password */
define('DB_PASSWORD', 'パスワード');
/** MySQL hostname */
define('DB_HOST', 'ホスト名:レンタルサーバ自動設定');
/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');
******** phpMyAdminデータの場合 ********
Filezilla などの無料FTPソフトで 以下のフォルダ名で検索をかけます。
config
doc
examples
js
libraries
locale
setup
sql
templates
test
themes
複数の同じディレクトリパスが表示されているところが phpMyAdmin の本番やテスト(消し忘れ)のフォルダだと思います。
本番用でもテスト用でも、私たち素人の場合は、バックアップデータの復元やテーブルのプレフィックス変更など、必要な作業が終わっていたならそれも全部、必ず消します。
ただ、削除のまえに、「setup」フォルダと、「config」フォルダは属性が「755」以外になっていないかだけ確認します。
「755」になっていなかったら念のために「755」に変えておきます。(属性が、例えば「000」等のままだと削除できないため)
そのあと、親ディレクトリ(親フォルダ)ごと、まるっと削除します。
==============================================================================
コントロールパネルから、今までのWordpress(場合によってはそれに紐付いたMySQLデータベースも)を全部、きれいさっぱり削除した上で、そのあと、本番用の空のWordpressを作ります。
これでこのあと、この本番用の空のWordpress を使って、いったん削除と復元のテストもします。
復元で正常にもとに戻らなかったら、ここから以降・復元までを、ちゃんとできるまで試します。
面倒ですが、例えば会社としてWordpressを使う場合、「いろいろ設定したうえでの復元テスト」でないとあまり意味が無いのでそうしてみます。
また、失敗しても繰り返しやることで、Wordpressに慣れたり強くなったりなんとなくわかってくるので、面倒でも絶対にやっておいたほうがいいです。
個人の方の場合はそこまでやらなくてもよいかもしれませんが、会社や小さなお店でWordpressのサイトを作りたい場合は、セキュリティ上・社会的責任が発生してしまいますので、必ず体験しておきます。
(個人の方でもそこは同じは同じなんですが…)
わからないままやると、作ったWordpressサイトがミスで動かなくなるたびに、3~10万円くらいかけてプロの人に直してもらわないといけなくなるかもしれないですし、セキュリティの問題などから賠償責任などが生じてしまう恐れもありますので、会社や小さなお店の方は、必ず、「いろいろ設定したうえでの復元テスト」までを「できれば何回か」経験して「コピペメモ」をたくさん作っておきます。
==============================================================================
adminなどの既定のユーザー名は攻撃の対象になります。
でも、Wordpressではアカウントのユーザー名の変更ができません。
なので、もうひとう別の管理者アカウントを作って、最初に作ったadminやwpmasterなどの管理者アカウントを削除します。
http://xxxxxxxx.com/xxxxxxx/wp-admin/index.php にアクセスして、最初のユーザーアカウント(管理者アカウント)でログイン
ダッシュボードと呼ばれる、Wordpressの管理画面が出てきます。
画面の左ペインに「ユーザー」があるのでクリック
「新規追加」ボタンを押すと「新規ユーザーを追加」画面になるので、そこで各値を入力します。
「ユーザー名」
念のためにセキュリティ強化のために、名前には半角スペースを2個以上含めます。
Wordpressではユーザー名にスペースを使えるので。
また、パスワードめいた意味不明のユーザー名でもOKです。ただし、パスワードと違って使える文字に制限があるかもしれないので、その範囲内で意味不明な名前にします。
よく使うソフトとは別のソフトのプロダクトキーをベースに少し変えたり、スペースを含めたりしたものなどもいいかもしれません。
「メールアドレス」
最初に作ったアカウントと違うものにします。
最初に作ったアカウントと同じものを使いたい場合は、あとで変更します。
最初に作ったアカウントと同じものを使いたい場合は、暫定的な捨てメールアドレスでもいいです。
「名」
意味不明なもので。
適当にキーをぐちゃぐちゃと押して、その値でも入れておきます。
(セキュリティ上そのほうがユーザー名がバレにくくていいみたいです)
「姓」
意味不明なもので。
適当にキーをぐちゃぐちゃと押して、その値でも入れておきます。
(セキュリティ上そのほうがユーザー名がバレにくくていいみたいです)
「ウェブサイト」
特に入力しなくてもいいです。
「パスワード」
「パスワードを表示」ボタンを押すと強力なものを作ってくれるのでそれをどこかにメモしておきます。
「ユーザーに通知を送信」
チェックマークを入れたままにしておきます。
「権限グループ」
「管理者」に変更します。
全部入力したら「新規ユーザーを追加」ボタンを押します。
別のソフトのプロダクトキーなどを使ってもOKです。
ハイフンを$や%、&などに変えて使ったりします。
==============================================================================
● 新しいWordpress管理者アカウントのパスワードをメモし忘れたら?
「最初の既定のユーザーアカウントを消す前」までに、ダッシュボードにログインして、
ユーザー→パスワードを変えたいユーザー名をクリック→下へスクロールして「新しいパスワード」の「パスワードを生成する」ボタン。
ここで必ずパスワードをメモします。
メモできたら最後に「ユーザーを更新」ボタンを押します。
==============================================================================
いったんログアウトします。
ダッシュボードの画面の右上隅に「こんにちは、××さん」とあるので、そこを押して、出てきたメニューの「ログアウト」を押します。
新しく作ったユーザー名とパスワードでログインしてみます。
どうしてもできなかったら、最初のアカウントでログインしなおして、2つめのアカウントをいったん削除し、再度、作り直し、ログインテストします。
できるまでそれを繰り返します。
==============================================================================
● 念のために新しく作ったアカウントで再度、ログアウトとログインのテスト
このあと最初のアカウントを削除するので、絶対に2つめのアカウントでログインできる必要があります。
なので、念のためにいったんログアウトします。
そして、再度、新しく作ったユーザー名とパスワードでログインします。
OKなら次へ進みます。
==============================================================================
・ダッシュボードの左ペインの「ユーザー」を押します。
・今のユーザーの権限グループの列が「管理者」になっていることを確認します。
・最初に作った1つめのユーザーアカウントのチェックボックスにチェックマーク(レ点)を入れます。
・そのユーザー名の下のところにマウスを乗せると赤く「削除」と表示されるので「削除」を押します。
・「ユーザーの削除」画面に切り替わるので、「このユーザーが所有するコンテンツをどのように処理しますか ?」のところで、「すべてのコンテンツを以下のユーザーのものにする」に丸ポチを入れて、2つ目のユーザー名になっているかを確認します。
・「削除を実行」ボタンを押します。
・もとの画面に戻りますので、最初のアカウントが消えていてら成功です。
==============================================================================
● 再度、管理者ユーザーでログアウトとログインをしてみます。
==============================================================================
● 新規管理者のニックネーム、ブログ上の表示名、メールアドレスを変更します。
セキュリティ上、ニックネームなどからアカウント名を推測したり、まったくまんまでバレバレになったりしないようにする措置です。
ダッシュボード→ユーザー→ユーザー名の下にマウスをあてて「編集」を押します。
「ニックネーム」
既定だとユーザー名と同じなので、ユーザー名が簡単にばれるといけないので、意味不明の文字列に変えます。
適当にキーをぐちゃぐちゃと押して、その値でも入れておきます。
「ブログ上の表示名」
好きな名前にできないので、ユーザー名が一番バレにくそうなものに変えます。
ニックネームを変更すると、ここにニックネームが出てくるので、それに選び変えてもいいです。
「メールアドレス」
消した管理者アカウントで設定したメールアドレスに戻したければ、それに変えます。
他のアドレスでももちろんOKです。
==============================================================================
管理者ユーザーだけで記事(ブログ等)の投稿までをしてしまうことは、侵入者に対しても、操作ミスによるデータ消失などに対してもあまりよくないので、投稿時には投稿だけしかできないユーザーアカウント(ユーザー名とパスワード)で行います。
管理者ユーザーで投稿すると、何らかのボタンの押し間違いで、大事なデータが消えるとか、バックアップされるはずのものがされなくなるとか、思わぬアクシデントを呼んでしまうので、あえて、重要な操作ができない、記事の投稿ができるだけのユーザーを作っておきます。
これも、ユーザー名にはスペースをに2つ以上含めたり、意味不明な文言やパスワードを使ったりします。
メアドもWebメールでもいいですが、きちんと、自分のいつも使うメールソフトで受信できるようにしたり、携帯に転送できるようにしたりをしておきます。
前述の(09)と同じ手順です。
「権限グループ」は「投稿者」に変更します。
メールアドレスは、スマホからも記事登録したいなら、携帯のメアドにするのも1つの方法かもしれません。
パスワードは、ボタンを押して生成されたら、忘れずにメモします。
==============================================================================
● 投稿者用アカウントのニックネーム、ブログ上の表示名、管理画面の配色、の変更
ニックネームを意味不明の文字列に変更し、ブログ上の表示名もそれと同じにします。
「管理画面の配色」も、一応わかりやすくするために暖色系か何かに変えておきます。
==============================================================================
管理者アカウントをログアウトして、投稿者用アカウントでログインしてみます。
==============================================================================
● セキュリティ上、「SiteGuard WP Plugin」プラグインのインストール、もしくは有効化
設定方法
ダッシュボード→SiteGuard にて。
「管理ページアクセス制限」→ONにして「変更を保存」ボタンを押します。
「ログインページ変更」→ONにして、「変更後のログインページ名」にて好きな値を入れて、「変更を保存」ボタンを押します。
「ログインロック」→期間は「30秒」、回数は「3回」、ロック時間は「5分」に設定して、「変更を保存」。
「XMLRPC防御」→コメント機能を普通に使っていたら、ONにして「ピンバック無効化」にして「変更を保存」。
「Disable Comments」などでコメント機能自体を完全に無効にしていたら、ONにして「XMLRPC無効化」にして「変更を保存」。
詳細説明
「SiteGuard WP Plugin」というプラグインをインストールすると、かなりセキュリティが強化されます。
まず、管理者その他のログイン画面のURLを変更することができます。
また、初期設定のままだと、http://wwww.Wordpressのアドレス(+ /インストールディレクトリ名が付くことも)/admin/ 等々と、既定値のURLでアクセスすれば、簡単にログイン画面を開けてしまう危ない状況(機械やプログラムが簡単にアクセスできてしまうまずい状況)も回避できます。
ログイン時に、表示された画像の文字入力をしなければならない「画像認証」も加えられます。
「SiteGuard WP Plugin」プラグインがもしまだ入っていない場合は以降のことを実施します。
ダッシュボード→プラグイン→インストール済みプラグインを検索と表示されたテキストボックスに「SiteGuard WP Plugin」とか「SiteGuard」などと入れます。
「プラグイン」列や「説明」列があって、「有効化」と表示されていれば、すでにインストールされていますので「有効化」の文字をクリックすると「SiteGuard WP Plugin」が動作を開始します。
その際ですが、2017年1月19日現在では、「SiteGuard」を有効化すると自動でログインURLが変更されますが、このとき、「変更された新しいURL」がメールで届いているかを絶対に確認してください。
届いていなければ、メール設定を見直すか、新しいURLをメモかブックマークします。
それまでは絶対にログアウトしないでください。
次回、ログイン画面を出せなくなる場合があります。メモの仕方は後述します。
(「管理ページアクセス制限」のONをする前までは不正アクセス的にログイン画面を出すことができますが、「管理ページアクセス制限」をかけたあとはそれができないので、最悪、「管理ページアクセス制限」をかけるまえまでに、メールの正しい内容の確認と、URLが届いているかの確認をします。「ログインページ変更」の設定をOFF/ONを繰り替えすたびに新しいログインURLがメール届くので、届くかどうかでメールの設置が正しいかの判断をします。)
で、もし、「SiteGuard WP Plugin」が見つからないときは「××××のプラグインは見つかりませんでした。」と出るので「WordPress プラグインディレクトリでプラグインを検索。」のところをクリックします。
(新規追加→プラグインの検索→検索したいプラグイン名を入力、でも同じ結果になります。)
「今すぐインストール」を押すとインストールが始まります。
「インストール中」となって「インストールしました」と出たらインストールが終わり、、「有効化」ボタンが出てきます。
「有効化」を押せば、有効化になります。
有効化したのちは、ダッシュボードの左側の下方に「SiteGuard」と表示されるのでそれをクリックすると各種設定ができます。
まだ絶対にログアウトしないでください。
では、「SiteGuard」の設定画面に行きます。
画面左側の下方、「SiteGuard」をクリックします。
「ログインページ変更」をクリックし、「変更後のログインページ名」にてて、現時点でのログインURLをメモします。
http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/login_数字が何文字か
という形になっていると思いますが、これをメモします。
これがメモできたらログアウトしても大丈夫です。
いったんログアウト・ログインのテストをします。
次回ログインするときは画像認証機能がはたらいて、ひらがなを入力させられると思います。
ユーザー名とパスワード、ひらがなを入力してログインします。
ハネられてしまったら、ひらがなが見づらかっただけかもしれないので再度、ログインしてみます。
ログインテストが終わったら、再度、「SiteGuard」→「ログインページ変更」で、今度はもう少し機械やプログラムがアクセスしにくい名前に変えます。
-や_が使えるようなのでそれらを混ぜます。
「login_」の部分に、-や_を混ぜたりもしてみます。
例えば「-l-o_gi-n_12abc_-3defGhI45」といった感じで意味不明のパスワードめいたものにします。
「変更を保存」ボタンを押すと確定されます。
こうしておけば、おそらく、機械(セキュリティの甘いパソコンを調べるソフト)がアクセスしてきても、そうそうは、アクセスできないと思います。
もちろん、http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/admin などでもログイン画面にはアクセスできなくなっています。
変更したら、ログアウトして、ログインテストをします。
OKだったら、ログインURLと管理者アカウント情報の変更の履歴を必ず日付けとともに暗号化するなどして保管しておきます。これは変えたら絶対に世代的にかならずメモで残しておきます。
でないと何らかのWordpressの不調でバックアップから「復元」をしたとき、復元後にログイン画面を出せなくなります。
復元すると、現在のログインURLもユーザーアカウントも全部消えて、過去のバックアップした時点のログインURLとアカウントに全部書き換えられてしまいますので。
また、余談ですが、ユーザーパスワードもワンタイムパスワードのように、ころころと手動で変えていくことは、同じくバックアップと復元の時、特に復元の時に困るので(ログインできなくなる)のでやめておきます。Wordpressをがボタン押下で自動生成してくれる 25桁の長いパスワードを暗号化したり、パスワード管理ソフトを使用するなどして保存・保管しておきます。
話が逸れてすみません。
ただ、せっかくログインURLを変えてログイン画面がバレないようにしたつもりだったのに、多分「SiteGuard」の既定の設定だと思うんですけど「リダイレクト」という機能が理由で
「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/admin/」
でのアクセスではログイン画面が表示されなくなるものの、
「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/」
「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/plugins.php」
などの、wp-adminフォルダがらみのURLにアクセスしたときにログイン画面が表示されてしまいます。
これを回避するために、「管理ページアクセス制限」の設定をOFFからONに変えておきます。
これをONにすると、wp-adminフォルダ内のファイルにアクセスしても、前回正しくログインしたパソコンのIPアドレス以外からのアクセスはハネてくれるそうです。
(もう少し詳しくいうと、多分wp-adminディレクトリと同じ階層にある .htaccessファイルに記載されていないIPアドレスはハネてくれる。)
もちろん、「ログインページ変更」で設定した正しいログインURLと、ユーザー名、パスワードがわかっていれば、IPアドレスが以前正しくログインされた以外のIPアドレスでもログインできます。
逆に言うと、「管理画面へのアクセス制限」をONにすれば、「ログインページ変更」で設定した正しいログイン画面のアドレスを知らない人は、アクセスできない、ということになります。なので一応は安心して良いと思います。
具体的には、例えば次のような動作になります。(ご自分で.htaccessファイルを編集してテストしたいときもこんな感じでアクセスしてみてください。)
(a)「ログインページ変更」で設定した正しいログインURL(暗号めいたURLとか)を知っている人が正しくURLを入力してアクセス→ログイン画面は出ます。これはログイン画面が出るから危険、という意味ではなくて、ログインURLを知らない人はアクセス行為自体ができないので問題ありません。つまり「(暗号めいたURLとか)を知っている自分だけがログイン画面が出せる」、という意味なので不安がる必要はありません。
(b)「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/admin/」でアクセス→「お探しのページが見つかりません。」と出て、ログイン画面は出ません。これは「管理ページアクセス制限」をかけていなくても「ログインページ変更」の設定によってでなくなるものです。
(c)「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/」アクセス→「404 Error - Not Found 指定されたページ(URL)は見つかりません。」というエラーになりログイン画面は出ません。ログイン画面を出すには、本人から暗号めいたURLを教えてもらうほかありません。機械(自動下工作用のプログラム)でもアクセスできません。
(d)「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/plugins.php」→同上
逆に言うと、「管理ページアクセス制限」をONにして「変更を保存」にしておかないと、「暗号めいた本人だけが知っているログインURL」を知らない人でも(おまけにドメイン名が何であろと)、(c)や(d)のような形でアクセスしてしまえば、ログイン画面が簡単に出せてしまう、ということになります。
このとき、各レンタルサーバ会社の既定値のユーザー名(adminとかrootとかwp×××とか)を使っていますと、あとはパスワードをプログラムで自動的に生成・乱発して数千~数百万回を打てば、いつかは破られて侵入されてしまう、ということになります。こういう仕組みを悪用して、機械(自動下工作用のプログラム)を作れば、いちいち人間がやらなくてもアクセスできてしまうそうです。
ですので、ユーザー名とパスワードを長めに意味不明に設定するのはとても大切なことだと思います。
各レンタルサーバ会社の既定値のユーザー名(adminとかrootとかwp×××とか)を使っていて、かつ、簡単なパスワードだと、十数分で侵入されてしまうこともあるそうです。
詳しくは以下のサイトをご参考に。
WordPressのログイン画面のURLを変更する+管理画面へのアクセス制限
http://www.nishi2002.com/17751.html
SiteGuardの動き
https://ja.wordpress.org/support/topic/%E3%80%8C%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%83%9A%E3%83%BC%E3%82%B8%E5%A4%89%E6%9B%B4%E3%80%8D-on%E3%81%AB%E3%81%97%E3%81%A6%E3%82%82wp-admin%E3%81%A7%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E7%94%BB/
からの引用
『説明不足があり、申し訳ありません。 「管理ページアクセス制限」の許可IPアドレスですが、ログアウト時にはクリアされません。 (24時間以上、ログインされていないIPアドレスが順次、削除されます。)
「管理ページアクセス制限」をONにした段階で、その時点の接続元IPアドレスが許可されていますので、「管理ページアクセス制限」をONにしたあと、まだログインしていない環境からアクセスしてみてください。宜しくお願いいたします。
~中略~
確認ありがとうございました。よろしければ、WordPressをインストールしたディレクトリにある.htaccessファイルを確認してみてください。
.htaccessファイルの・・・
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START
~
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_END
という箇所に、
RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx$
のような記述はありますか?ここに記載されているIPアドレスが、許可IPアドレスとなります。 (このIPアドレスからの接続は、/wp-admin/宛へのアクセス可となります。)可能であれば、.htaccessファイルから、上記「RewriteCond %{REMOTE_ADDR}・・・」の行を削除・保存して、アクセスしてみてください。宜しくお願いいたします。』
実際上記のことを試すとそのように動作しました。
wp-adminフォルダ やその中の plugins.php ファイルなどにアクセスしても、ちゃんと「404 Error - Not Found」 になり、ログイン画面は出てきませんでした。(実験結果は後述。)
なお、「SiteGuard」のそのほかの設定は、既定では
・ログインページ変更
・画像認証
・ログイン詳細エラーメッセージの無効化
・ログインロック
・ログインアラート
・XMLRPC防御
・更新通知
がONになっています。
既定値は素人目に見ても、Wordpressを扱う分にはバランスがとれていて いい設定な気がしますので、「管理ページアクセス制限」と「ログインページ変更」以外は設定を変えなくてもOKだと思います。
そのほかに変えるとすれば、ログインロックくらいだと思います。
詳しくは「SiteGuard ログインロックとは」でGoogle検索してみてください。
既定値は以下の意味です。
期間:5秒間の内に
回数:3回ログイン情報が異なった場合
ロック時間:1分間同じIPアドレスからのログインをブロックする
※参考:「wp-admin」へのアクセス禁止状態のチェック。
「SiteGuard」の「管理ページアクセス制限」の設定がちゃんと有効になっているかのテストです。
「SiteGuard」の「管理ページアクセス制限」をONにすると、「ログインページ変更」にて設定した正しいログインURLを知らない人は「wp-admin」フォルダやその中の「plugins.php」ファイルにアクセスしても、ログイン画面にリダイレクト(転送表示)されないようにできます。
逆に言うと、「管理ページアクセス制限」の設定がOFFのままだと、「ログインページ変更」にて設定した正しいログインURLを知らない人でも、ブラウザにて
「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/」とか、
「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/plugins.php」
などと打ってアクセスしてしまえば、ログイン画面が表示されてしまいます。
それはちょっとまずいということで、「管理ページアクセス制限」をONにするわけですが、実際にONにしたときに、「本当に有効になっているか?」が心配な人のために、一応、テストをしてみましたのでご報告いたします。
次のようにやってみました。
まずTerapadというフリーウェアのテキストエディタを用意します。
(基本的にはメモ帳は扱える文字コードが違うためにダメなので)
TeraPad - 窓の杜ライブラリ
http://forest.watch.impress.co.jp/library/software/terapad/
「管理ページアクセス制限」の設定がONになっているか確認します。
万が一なってなければ、ONにして「変更を保存」します。
ログアウトしてブラウザをいったん閉じます。
FFFTPなどのファイル転送ソフトでWordpressのインストールされているディレクトリ(=フォルダ)にアクセスします。
「wp-admin」フォルダを探します。
そのフォルダのある階層と同じ階層に「.htaccess」というファイルがないか探します。
見つけたらFTTTPならダブルクリックで開いてみます。
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START
~
#==== SITEGUARD_ADMIN_FILTER_SETTINGS_END
といった記述がある「.htaccess」というファイルならビンゴです。
「.htaccess」というファイルは別の階層にもあることがあります。
その際も、中身を見てみて、
「#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START」のような記述があるかを探します。、
もしなければ、その「.htaccess」というファイルは違う「.htaccess」です。
「#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START」がある「.htaccess」を見つけてそちらのほうをいったんダウンロードします。
サーバ側の「.htaccess」というファイルはオリジナルなので、失敗したときのためのバックアップとして使いたいので「.htaccess.org」という名前に変更しておきます。
一時的に「.htaccess」が存在しないことになりますが問題ありません。
次にダウンロードした「.htaccess」をTerapadで開きます。
「#==== SITEGUARD_ADMIN_FILTER_SETTINGS_START」という行から
「#==== SITEGUARD_ADMIN_FILTER_SETTINGS_END」という行の間に
「RewriteCond %{REMOTE_ADDR} !^(数字\.数字\.数字\.数字|数字\.数字\.数字\.数字)$」
という行があると思います。
1つの場合もあれば複数行存在する場合もあります。
いずれにしても、
「RewriteCond %{REMOTE_ADDR} !^(数字\.数字\.数字\.数字|数字\.数字\.数字\.数字)$」
の行はすべて削除します。
削除したら上書き保存してTerapadを閉じます。
そして、その上書き保存した「.htaccess」を、もともとあった場所(この例では「wp-admin」フォルダと同じ階層)にアップロードし直します。
念のため数秒待ちます。
さらに念のためにサーバーにアップロードした「.htaccess」を開いてみます。
「RewriteCond %{REMOTE_ADDR} !^(数字\.数字\.数字\.数字|数字\.数字\.数字\.数字)$」の行がちゃんと消えていることを確認します。
FFFTPは閉じずに開いたままにしておきます。
ブラウザを開いて、ログイン画面ではなく・・・、
「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/」とか、
「http://wordpressのトップページのアドレス(+ /インストールディレクトリ名が付くことも)/wp-admin/plugins.php」
などと打ってアクセスしてみます。
「404 Error - Not Found」 と表示され、ログイン画面にリダイレクト(転送表示)されないことを確認します。
これはかならず、ログインする前でないとテストになりません。
ログイン画面を表示してログインまでしまったら、「.htaccess」の書き直しからやりなおします。
最後に、「ログインページ変更」にて設定した正しいログインURLでアクセスしてみます。
いつもの画像認証つきのログイン画面が現れます。
管理者ユーザーのユーザー名とパスワードと画像の文字を入力してログインします。
ログインできたら、一応、 SiteGuard の管理ページアクセス制限の設定がONになっていることを確認して、いったんログアウトします。
ブラウザを閉じます。
FFFTPの中の「.htaccess」を開いてみます。
消えたはずの「RewriteCond %{REMOTE_ADDR} !^(数字\.数字\.数字\.数字|数字\.数字\.数字\.数字)$」の行が復活していると思います。
これで、正しいログイン画面から(不正にではなく)正しくユーザー名とパスワードでアクセスしたパソコンのIPアドレスが記録されたという事実が、確認ができました。
24時間以内に正しくアクセスしていた正しいIPアドレスは一括で全部「.htaccess」に復活するようですね。
以上、テスト結果でした。
==============================================================================
画像認証、機能します。
ダッシュボードも使えます。
==============================================================================
● 「WP Multibyte Patch」の有効化
WP Multibyte Patch は日本語圏では有用なようですので、削除せずに有効化します。
(例えば閲覧者がサイト内検索をかける時などに有用?要調査ですが・・・)
==============================================================================
● セキュリティ上、「Hello Dolly」などの使わないプラグインを削除
不要なプラグインがインストールされていると、無駄なセキュリティホールになりかねないそうなので、削除しておきます。
「Hello Dolly」基本、要らないと思います。
「Akismet」コメントスパムに関する機能なので、コメント機能自体をまったく表示させない場合には要らないと思います。
「Jetpack by WordPress.com」などは、すごく便利なようですが、詳しい人が身近にいない場合は逆にセキュリティホールになりかねないので、必要になるまでは消しても大丈夫だと思います。
==============================================================================
● セキュリティ上、コメント機能を停止するプラグイン「Disable Comments」
Disable Commentsを使うとコメント機能そのものを表示させないようにできます。
セキュリティの向上、コメントスパムへの対応、Tipsだけを公開したいサイトの場合、にはこのプラグインは便利だと思います。
専任のサイト管理者がいない会社様も、下手にコメントをOKにさせるととんだトラブルやセキュリティリスクをまねきかねないので、このプラグインでコメント機能自体を表示させないようにします。
ダッシュボード→設定→Disable Commentsにて
「どこでも: WordPress 内のコメント関連のコントロールと設定をすべて無効化します。」に丸ポチを入れて、「変更を保存」を押します。
==============================================================================
● 記事を書きやすくする、「TinyMCE Advanced」プラグインのインストール
==============================================================================
両者ともWordpress専用の用語です。
「投稿」は一般的に言うところのブログ記事のことをさし、「固定ページ」は、ブログ記事のような文字中心の簡単なものではなく、凝った?Webページのことをさしてるみたいです。
でも、どちらもHTMLタグやCSS(?よくわかってません)が使えますので、表示できることは同じだと思います。
Wordpressを一つのプログラムとしてとらえた場合、投稿と固定ページとで機能に少し差異を持たせているので、便宜上、そのように区別しているのかもしれません。
詳しくは、専門家の方にご質問ください。
==============================================================================
【パーマリンクとは?】
「パーマリンク」は、wordpress特有の用語です。
wordpressでは「投稿した記事」のURLを自動的に作成した上で投稿処理をしてくれますが、「パーマリンク」は、その「URLそのもの」を意味します。
「パーマリンク」は「投稿記事や固定ページのURL」のことで、投稿時にwordpressが自動的につけてくれるもの・・・です。
そして、パーマリンクの最後の部分、つまり、投稿記事の本名(?)の部分はユーザーがあとで独自に決める・変えることができます。
(アクセスしやすいように、検索エンジンに認知されやすいように、URLを見ただけで意味がわかる、アクセスログが見やすくなる、などのために、だそうです。)
また、wordpressの用語の別のひとつである「スラッグ」の対義語として「URLの本名」というような意味合いで扱われることもあります。
「スラッグ」は「別名」「ニックネーム」のような存在ですが、パーマリンクのURLの中においては、記事の本名の代わりにその「スラッグ」を使うこともできます。
設定としては、「設定→パーマリンク設定」、で、どんなタイプのパーマリンクにするかを決めたり変えたりすることができます。
ただし、いったん決めたら変えないようにします。(特に投稿記事が多くなってからは。)
パーマリンクのタイプは、記事や固定ページを投稿してからでも変えられますが、しかし投稿した記事の本文の中で一回でも自分のサイトの固定ページや他の投稿のURLリンクを作成したら、その時は変えないほうがいいです。
理由は、記事の中に設定したURLリンクの内容までは、自動で書き変わらないから手動で書き換えないといけないからです。
また、特にアクセス数の増加を本気で狙っている場合は、検索エンジンに認知された以降のパーマリンクの変更は「死」を意味するそうです。
http://iwata-blog.jp/links/2806/
をご参照ください。
【パーマリンクのタイプの変え方】
ダッシュボード→「設定→パーマリンク設定」、で、「基本」「日付と投稿名」「月と投稿名」など、いろいろとありますので、好きなものを選んで「変更を保存」を押します。
なお、「カスタム構造」を選んだ時に、「変更と保存」が有効にならない場合があります。
(丸ポチが「カスタム構造」に入らずに、直前の設定に戻ってしまう。)
その場合は、カスタム構造の入力欄が「/%postname%/」とスラッシュで終わっていないかを確認します。
スラッシュで終わっていたら、スラッシュを取って、再度、「変更と保存」をしてみます。
これで多分、「カスタム構造」に切り替わると思います。
それでもだめだったら、専門家に相談するか質問サイトで聞いたほうが速いです。
Webには、その解決方法はまず出ていません。
【パーマリンクのタイプの違いを把握する】
ダッシュボードにて、投稿→新規追加、にて、1つ適当にテスト記事を作ります。
タイトルと本文をテスト入力して画面右側の「公開」ボタンを押します。
すると、記事が自動的に処理されて(画面は投稿画面のままですが)、記事のほうは実際にはWeb公開までがなされています。
その際、投稿画面の画面上部に、
「パーマリンク: http://www.××$×#××.co.jp/test/archives/8 」といったようなURLが表示されます。
このURLが「パーマリンク」そのものです。
このパーマリンクの表示値は、「設定→パーマリンクの設定」で、パーマリンクのタイプを変更すると自動的に変化します。
なので、「基本」「日付と投稿名」「月と投稿名」など、いろいろとありますので、好きなものを選んで、変えてみます。
そのとき、記事の投稿画面のパーマリンクの表示値がどのように変わるかを確認してください。
それからでないと、どれが自分の目的と合致するかがわかりません。
http://iwata-blog.jp/links/2806/
によると、これは、
・タイプ:カスタム構造
・入力値:/%category%/%postname%
がいいそうです。
まず、wordpressでは、投稿する記事には、検索や分類がしやすいように「カテゴリ」を設定できます。
そしてこのとき、ここで挙げた「タイプ:カスタム構造、入力値:/%category%/%postname%」の設定にしておくと、投稿した記事のURLを、
「http://www.××$×#××.co.jp/カテゴリ名/記事の内容が分かりやすいページ名(全部英数字)」
といった分かりやすいURLにすることができます。
そして、URL内の「/カテゴリ名/」の中には、親カテゴリも子カテゴリも全段階のカテゴリ名がURLに含まれます(あるいは、付加されます)。自動的に。 (もう少し詳しく言うと、「カテゴリ」に付けた「スラッグ(別名?)」がURLに含まれることとなります。)
これだと(数字の名前のURLよりも)、Googleなどの検索エンジンに認知されやすいのだそうです。
その他、管理面においてもメリット多いそうですので、よくわからなかったらこのタイプとこの入力値で行けば、のちのちも失敗がないと思います。
なので逆に言いますと、もし「Googleなんかには認知されたくない」「少しでも下位に表示されたい」という場合は、タイプをカスタム構造ではなくて、「数字ベース」にしたほうがいいかもしれません。
ちなみに、最初に「数字ベース」にしてあったのに後になってから「カスタム構造」に変えると、パーマリンクのページ名が全部投稿記事のタイトルと同じ(=日本語名)になってしまうので、あとで変えるのは本当に面倒くさい!!!です。それを全部英数字に変えないといけないので うええええ~っ!!!ってなります。
というわけで、最初から「タイプ:カスタム構造、入力値:/%category%/%postname%」の設定にしておくのがおすすめです。
スラッグとパーマリンクは重要な用語、機能、のようなので、しっかりとその動きを理解しておく必要がありそうです。
ただ、スラッグやパーマリンクに日本語を混ぜることができるとはいえ、のちのちのトラブルとなると思うので、基本、パーマリンクもスラッグも、英数字以外はやめたほうがいいようです。
==============================================================================
「スラッグ」は投稿した記事の「Webページ名」や、新規に自作した「カテゴリ」などにつけることができる「ニックネーム」のような感じのものです。
(厳密には違う動作っぽいですけど・・・)
ニックネームとしては「半角英数字」と「日本語」の、どちらででも付けることができます。
ニックネームを付けることを、「スラッグを設定する」という風に言うみたいです。
「スラッグ」は記事の投稿画面(固定ページ含む)と カテゴリの作成画面、で設定することができます。
が、「記事の投稿画面」と「固定ページの作成画面」ではデフォルトでは設定箇所が表示されていません。
ですので、各画面の右上にある、「表示オプション」をクリックして、「スラッグ」のところにチェックマークを入れます。
(チェックを入れたら再度「表示オプション」をクリックして、仕舞います。あと、カテゴリ作成画面には最初から出てるので何もしなくてOKです。)
すると、本文の下に「スラッグ」という入力箇所が表示されます。
(一番上にくると便利なのに、移動できないです。)
これは「記事の投稿画面」または「固定ページの作成画面」のいずれかで設定すれば、両方に表示されます。
スラッグを使ったときの実際のWeb側での表示動作は次のような感じです。
例えばパーマリンクのタイプを「数字ベース」に設定していた場合は、投稿画面でのパーマリンクの表示値が、
「 http://www.××$×#××.co.jp/test/archives/8 」といった形になりますが、
この投稿画面にてスラッグを「testpage01」とつけて「公開」または「更新」をすると、
ホームページを見る側は ブラウザにて、
「 http://www.××$×#××.co.jp/test/archives/testpage01 」とURLを入力しても、
その投稿ページが見られるようになります。
(といっても、見る側の人は本名のURLがあってもなくてもそれは知りえないので特にどうということではないのですが・・・)
同様にスラッグを日本語で「テスト」と付けると、
(ブラウザによるのかもしれませんが、例えばインターネットエクスプローラ11の場合なら、)
ホームページを見る側としては、
「 http://www.××$×#××.co.jp/test/archives/テスト 」
という風にしてアクセスできます。
これがスラッグを設定したときのブラウザ上の(Web側での)表示動作です。
ただ、スラッグは、「設定」→「パーマリンク設定」で選んだパーマリンクのタイプによって、「投稿画面の中」での「設定動作」としては、色々に変わってくるみたいです。
例えば「基本」や「数字ベース」を選んだ場合は、まずはパーマリンクは変更できません。
スラッグはつけられますけど・・・。
そしてスラッグを変更しても、パーマリンクは自動変更されません。
つまりこの場合はスラッグを完全に「別名仕様」にできる、という感じです。
前述の「 http://www.××$×#××.co.jp/test/archives/8 」の例と同じ動きです。
本名と別名の2つが存在する感じです。
一方、「日付と投稿名」「月と投稿名」「投稿名」「カスタム構造」といった設定にすると、パーマリンクは変更できます。
最後の部分のページ名のところが自由に変更できます。
ただ、ここを変更するとスラッグも同じ値に自動変更されます。
逆に スラッグ側を変更すると、連動してページ名も同じ値に自動変更されます。
つまり、「ページ名=スラッグ」という感じです。
本名も別名もなく、両方が同一、という感じです。
(実際には裏で、数字等々で本名が管理されているかもしれませんがそれは見えません。)
こちらの場合、例えば投稿画面にて、
「 http://www.××$×#××.co.jp/test/archives/test01 」というパーマリンクの表示値のときに、
スラッグを「テスト」と書き換えて「公開」や「更新」をすると、パーマリンクの表示値も、
「 http://www.××$×#××.co.jp/test/archives/テスト 」
となります。
ホームページを見る側の人は、
「 http://www.××$×#××.co.jp/test/archives/テスト 」
とURLに入力しないとこの投稿を見られないようです。
(一応、wordpressと紐付いているバックエンドのMySQLデータベース内には、「 http://www.××$×#××.co.jp/test/archives/test01 」のほうも記憶されてて そのURLでもアクセスできるみたいですけど、でもそんなことは 見る側の人には分からないですし、作った側もいつかは記憶の外になってしまいますのでいずれ、「 http://www.××$×#××.co.jp/test/archives/テスト 」以外ではアクセスできなくなります。)
スラッグとパーマリンクは重要な用語、機能、のようなので、しっかりとその動きを理解しておく必要がありそうです。
ただ、スラッグやパーマリンクに日本語を混ぜることができるとはいえ、のちのちのトラブルとなると思うので、基本、パーマリンクもスラッグも、英数字以外はやめたほうがいいようです。
==============================================================================
● 「カテゴリ」とは?
パーマリンクの設定のところでも書きましたが、wordpressでは、投稿する記事には、検索や分類がしやすいように「カテゴリ」を設定できます。2段階か3段階くらいまでつけられるみたいです。
基本、カテゴリはいくつでも作れますが、日本語で作ります。
そしてその作った「カテゴリ」には「スラッグ」を付けることができます。
このスラッグは英語でも日本語でもつけられます。
「カテゴリ」に「スラッグ」を付けることによって、URLにもカテゴリを含めることができます。
(逆に言うと、URLにカテゴリを英数字で含めたい場合は、日本語であるカテゴリに英数字のスラッグをつけて、それをURLに含める形で、カテゴリの代用とする、というイメージです。)
例えば、パーマリンクの設定を「タイプ:カスタム構造、入力値:/%category%/%postname%」の設定にしておくと、投稿した記事のURLを、
「http://www.××$×#××.co.jp/カテゴリ名/記事の内容が分かりやすいページ名(全部英数字)」
といった分かりやすいURLにすることができます。
そして、URL内の「/カテゴリ名/」の中には、親カテゴリも子カテゴリも全段階のカテゴリ名がURLに含まれます(あるいは、付加されます)。自動的に。
そしてこのとき、『URL内の「/カテゴリ名/」』とは、厳密には、『カテゴリに付けた「スラッグ」』でURLに含まれることとなります。
なので、逆に言うと、スラッグは半角英数でつけるほうが望ましいと思います。
日本語のスラッグをつけてしまうと、投稿記事のURLに日本語が含まれてしまうのですが、それでも記事にはアクセスできるみたいですが、管理が多分面倒となりますし、記事を見る人が迷惑するときもあります。
なので、できるだけスラッグは英数字でつけるほうがいいと思います。
カテゴリの作り方は以下のとおです。
投稿→カテゴリ→「名前」で日本語のカテゴリ名を付けます。
「スラッグ」に、英数字の(URLに含めたい)カテゴリ名を付けます。
親子関係を設定したい場合に、「親」にしたいカテゴリがあればドロップダウンから選びます。
「新規カテゴリを追加」ボタンを押します。
★ メモ:
・カテゴリーを削除しても、そのカテゴリー内の投稿は削除されません。
・その代わり、削除したカテゴリーだけに属していた投稿は 最新情報 カテゴリーに移動されます。
・なお、カテゴリーからタグへの変換ツールを使って、選択したカテゴリーをタグに変換できます。
・カテゴリをメニューボタンとして加えると、そのカテゴリのブログの件名やサマリーが一覧表示されます。
・メニューバー化してからサイドメニュー化すると、あるカテゴリに対して、投稿が1件もなくてもメニューとして表示されます。
・単なるカテゴリサイドメニューだと、投稿が1件もないカテゴリは表示されません。1件投稿をするとサイドメニューとして表示されます。
**********
基本的に「カテゴリ」は投稿ページにつけるものであって、固定ページにはつけるものではないみたいですが、以下のサイトに、固定ページにも投稿用のカテゴリを適用できると書いてありました。
http://shufulife.com/page-category/
ただ、少し、Webの知識が要るのでご自分でやる自信のない方は、Webに詳しい方にやっていただいてください。
(といっても、メモ帳を使わない・Terapadなどを使う、とか、パーミッション、とか、FTPの知識、さえあれば大丈夫っぽいです。推奨はしませんが、これ便利かも!と思うのでチャレンジしてみたい人は是非どうぞ!)
上記URLの記事中にある、「functions.php」がある場所は「 /piyopiyo.com/test/wp/wp-includes 」です。
パーミッション604でいいのではないかと思います。(ダメなら604)
http://shufulife.com/page-category/
より
*****引用ここから*****
add_action('init','add_categories_for_pages');
function add_categories_for_pages(){
register_taxonomy_for_object_type('category', 'page');
}
add_action( 'pre_get_posts', 'nobita_merge_page_categories_at_category_archive' );
function nobita_merge_page_categories_at_category_archive( $query ) {
if ( $query->is_category== true && $query->is_main_query() ) {
$query->set('post_type', array( 'post', 'page', 'nav_menu_item'));
}
}
*****引用ここまで*****
==============================================================================
カテゴリと同じようにある視点で記事をくくりたいときに使います。
1つの記事にいくつでもタグをつけることができます。
次のような場合に使えるかもしれません。
(01)カテゴリで分類しきれない場合に、別の視点で、1つのキーワードでまとめたい
(02)アクセス解析をして、相互にリンクが強く結びついていそうな記事を、1つのキーワードでまとめたい
(03)アクセス数の多い記事を、共通の視点・1つのキーワードでまとめたい
(04)ユーザーさんがその記事にアクセスしてきた際の検索語句を見て、共通の視点・1つのキーワードでまとめたい
(05)逆に、ユーザーさんの視点ではなく、書く側の視点からぜひ紹介したい記事同士をまとめたい
いずれにしましても、あわててつける必要は無いので、ある程度記事が出そろってから、検索結果やアクセス解析結果を見ながら、ゆっくりつけていけばいいと思います。
タグの作り方はカテゴリと同じです。
投稿→タグ→「名前」で日本語のカテゴリ名を付けます。
「スラッグ」に、英数字の(URLに含めたい)カテゴリ名を付けます。
(ただし、カテゴリとは違い、このスラッグがURLに含まれるようなことはありません)
親子関係は設定できないので、そのまま「新規カテゴリを追加」ボタンを押します。
投稿記事の画面からも新規作成することができます。
参考URL
タグとカテゴリの違い
http://wp-exp.com/blog/tag-kihon/
==============================================================================
WordPressの画面のデザイン・・・、つまりユーザーへの見え方(例えば、色あい、各種レイアウト、文字の種類や大きさ等々)が、「1つのテーマにつき1つのデザイン・スタイル」の形で構成されたユニット、という感じです。
ビジネス用、ふんわりした雰囲気のブログ用、女性っぽいフラワー感じ、クールなアートな感じ、ハードな感じ、など、いろんなデザインのテーマがあるそうです。
自社サイト、お店のサイトに似合うテーマを選んでホームページのイメージを出していきます。
なお、「テーマ」の実体は、.php、.js、.css、といった拡張子のファイル群で、言ってみればテーマとは、「画面表示専用のプログラムユニット」という感じです。
Wordpressのインストールディレクトリの「/wp-content/themes」フォルダに格納されています。
テーマはいくつもインストールして切り替えて使うことができますが、セキュリティ上は、1つに決めて、使わないテーマは削除してしまうほうが良いそうです。
私も使わないテーマ(プラグインも)は全削除しています。
==============================================================================
「グローバルメニュー」は、トップページの上側(トップ画像の下あたり)に配置されるドロップダウン式のメニューです。
任意の「メニュー」を1つ作成し、それに対してグローバルメニューのフラグを「ON」の状態に設定することで、そのメニューを「グローバルメニュー」とすることができます。
グローバルメニューのフラグをONにする設定は、使っているテーマによって違う?みたいです。
例えば「BizVektor」というテーマの場合のグローバルメニューの作り方は以下のとおりです。
「外観」→「メニュー」→「または新規メニューを作成してください。 」のところでメニューを作り、まずはメニューを保存ボタンを押します。これで1つのメニューが作れました。
その後、「編集するメニューを選択」のところで、その作ったメニューを「選択」します。
(もしかしたらすでにここまで自動で終わってるかも・・・???)
選んだメニューのグローバルメニューのフラグを「ON」にするには その画面の一番下のほう、「メニューの位置」の「Header Navigation」にチェックマークを入れて、「メニューを保存」ボタンを押します。これで「単なるメニュー」の「グローバルメニュー」化は完了です。
(Wordpressのバージョンやテーマが違うと少し違のかわかりませんが、流れ的には同じだと思います)
「グローバルメニュー」は、以下のものの集合体と思えばよいです。
(a)固定ページの「タイトル」
(b)お知らせの×××
(c)リンク(外部・内部へのURL)
(d)カテゴリーの「名前」
(e)お知らせカテゴリーの「名前」
例えば固定ページをメニューに加えたい場合は、まず先に固定ページをいくつか作っておき、それを、「メニュー」の1つ1つとして登録していきます。
メニューにする固定ページのタイトルは、検索するときの検索対象に含まれるようです。
ただ、新規投稿をしたときに固定ページのタイトルそのものを検索タグのように指定したりはできません。
固定ページのタイトルを検索語句にしたい場合は、同じ文言で「カテゴリ」を作成しておき、そのカテゴリをメニューの中には登録しないようにすればOKです。
「グローバルメニュー」は、複数の「メニュー」作っておき、それを切り替えて試すというようなことができます。
「メニュー」は「外観」→「メニュー」→「または新規メニューを作成してください。 」のところでいくつでも作れます。複数作れば「編集するメニューを選択」のところで、どのメニューをグローバルメニュとして使うかを選択できます。
「編集するメニューを選択」のところで、ドロップダウンで目的のメニューを選んで「選択」ボタンを押し、「メニューを保存」ボタンで確定できます。
また、ここで作った「メニュー」は、サイドバー表示にも流用できます。(「カスタムメニュー」として。)
メニューバー化してからサイドメニュー化すると、あるカテゴリをメニュー化した際に、投稿が1件もなくてもメニューとして表示されます。
(メニュー化してからではなく、単なるカテゴリとしてサイドバーメニューに加えると、投稿が1件もない場合はカテゴリは表示されません。1件投稿をするとサイドメニューとして表示されます。)
★メモ
「BizVektor」ではメニューは、
(01)ヘッダーナビゲーション(よくあるヘッダ部分の帯状のエリア)
(02)フッターナビゲーション(フッターの直上の帯状のエリア)
(03)フッターサイトマップ(フッターの位置)
という3つの場所に、メニューを表示することができます。
1つのメニューを、この3か所すべてに表示させることもできますし、メニューを3つ作っておいて、一か所ずつ違うメニューを表示することもできます。
==============================================================================
● WordPressサイト全体をバックアップするプラグインのインストールと有効化
「BackWPup」というプラグインを使ったバックアップの方法です。
プラグインのインストールと有効化につきましては、以下の手順でできます。
プラグイン→インストールプラグイン→新規追加→検索ボックスに「BackWPup」と入力してEnter→インストール→有効化
★はじめてのバックアップとリストアのテスト
ダッシュボード→「BackWPup」と押すと→右側に「バックアップジョブの準備はできましたか?」と出ているので「新しいバックアップジョブを追加」をクリック。
「一般」タブの以下の3か所と「XMLエクスポート」タブの「XMLエクスポートファイル名」だけ設定します。(あとのタブは全部既定値のままです。)
「このジョブの名前」:ALL_SvrAndDBData_Photo-Theme-Plugin_DB-Sys とか、日付などを入れてみます。
「このジョブは …」:「WordPressのXMLエクスポート」にもチェックを入れます。
「バックアップファイルの保存方法」:「フォルダにバックアップ」にチェックを入れます。
「エラー」:「ジョブの実行中にエラーが発生した場合にのみログをメールで送信」のチェックをはずします。
また、「XMLエクスポート」タブでの設定は、「XMLエクスポートファイル名」に日本語が含まれていたり長かったりしたら、一応、全部半角英数字で短い名前にします。
「×××.wordpress.Y-m-d」といった形の値になっていると思うので、×××の部分を短い半角英数字に変えます。「wordpress.Y-m-d」の部分はいじりません。
ただ、「Y-m-d」の部分が正常動作しないで日付けが付けてもらえないこともあるので、例えば「XLM-export-back.wordpress.2017-01-20」といった名前でもOKです。
ここで、いったん、「変更を保存」ボタンを押して、設定を確定させます。
あとは、「宛先:フォルダ」タブの「バックアップを格納するフォルダ」
の内容「uploads/backwpup-e08471-backups/」をメモしておきます。
基本的には自動バックアップでも手動バックアップでも、繰り返しバックアップすれば、世代バックアップされていきます。(それが既定値です)
たまりすぎたら適当に自分基準で削除してください。
「スケジュール」タブで、「手動」のバックアップになっていることを確認します。
この状態だと、手動でバックアップしないといけないのでまずは後ほど、手動でバックアップしてみます。
なお、少し補足しますすと、前述の「このジョブは …」のところでチェックマークを入れている・・・、
・「データベースのバックアップ」と「インストール済みプラグインリスト」という2つのチェックマークは、Wordpressの後方システム=Wordpressに紐ついているMySQLデータベース内のデータ=例えば、記事、カテゴリ、コメント、管理画面の設定情報など(=バックエンド)をバックアップしますよ、という意味になります。
・「ファイルのバックアップ」と「WordPressのXMLエクスポート」の2つのチェックマークは、画像ファイル、テーマ、プラグインそのもののファイルなど(≒フロントエンド)をバックアップしますよ、という意味です。
「データベースのバックアップ」にチェックを入れると、今のWordpressに紐ついているMySQLデータベース内のデータが、バックアップされたZIPファイルの中に「.sql」拡張子のファイルとしてバックアップされます。
「DBバックアップ」タブの「バックアップファイル名」で指定した名前でバックアップされます。初期値はMySQLデータべースのいわば「本名」ですので私たち素人の場合は絶対に変えないようにしましょう。これがWordpressに紐付いたMySQLデータベースのデータ、すなわち、記事、コメント、設定等々、本体のデータです。
「インストール済みプラグインリスト」にチェックを入れると同じくZIPファイルの中に、「e2ed3318a2549bb35e33c711d46fbc23.pluginlist.2017-01-21.txt」といった感じで保存されます。TeraPadなどのテキストエディタで中身を見てみると、プラグインに関する情報??が入っています。
「WordPressのXMLエクスポート」にチェックを入れると、同じくZIPファイルの中に「×××.wordpress.Y-m-d.xml」という.xml拡張子のファイルで保存されます。
「×××」の部分は後述の「XMLエクスポート」タブでの「XMLエクスポートファイル名」に指定した名前となります。Y-m-d.の部分が正常動作しなくて日付けにならず、そのままの場合もあります。内容はブログ記事の内容のようです。XMLエクスポートによって、バックアップが失敗しない限りは、必ずやっておいたほうがよいと思います。
何かあってWordpressが動かなくなったとき、過去記事を自分で検索したい場合などに便利です。また、特に「バックアップされた.xml拡張子のファイルはテキストエディタやブラウザなどで見ることができます。
また、記事を書いたり修正しているときに、単純な操作ミス・思い込みミスでうっかり、その1記事分の内容をまるっと消してしまったまま「更新」ボタンを押してしまった際に、とても役立ちます。
理由は、このxmlファイルに、例えば、数日前とか、前回バックアップ時のその内容が記録として残されてされているからです(その時点の全記事の内容が記録されています。)
特に、動作速度などの関係で、Wordpressの「★リビジョン機能の停止と自動保存機能の停止」をしている場合は必須だと思います。
通常のバックアップ・ジョブのほかに、このxmlファイルだけのバックアップ・ジョブを作って、1日1回くらいでやると良いかもしれません。
「ファイルのバックアップ」にチェックを入れると、Zipファイルの中に、前述の3つ「以外」の「すべてのデータ」が、ファイルやフォルダの形として保存されます。
「wp-admin」「wp-content」「wp-includes」のフォルダや前述の3つのファイル以外のすべてのファイルは、ここで「ファイルのバックアップ」にチェックを入れたことによるもののようです。
ところで、「WordPressのXMLエクスポート」へのチェックは入れなくていいというWeb情報が多いですが、実は、超・落とし穴があって、「BackWPup」プラグインでのバックアップは・・・、バックアップは確かに簡単なんですけれども復元は超難しいです。
私たち素人にはまず理解できません。
特に、MySQLのデータベースがおかしくなったときは、復元するのは素人には超難しいと思います。
場合によっては「phpMyAdmin」をレンタルサーバにインストールすることからはじめないといけません。特に、ブログ記事・カテゴリ・コメント・管理画面の設定情報などを格納している「MySQLデータベース」自体がおかしくなると、この手のソフトがないと、復元できません。ファイルの上書きで何とかなるというレベルの話ではないのです。
その場合、基本、Linuxサーバを作った経験がない人・データベースを扱った経験がない人は、素人じゃなくても99%、理解できないと思います。
ちなみに、運よく、壊れたところが、FTPでの上書きだけで治る場所なら、この手のソフトはいらないみたいなのでそれほど難しくないかもしれません。
ただ、パーミッションの変更の知識はどこが破損しても必要になってくると思います。
というわけで、「WordPressのXMLエクスポート」自体はあまり必要性はないのかもしれませんが、でも、私たち素人は「わかってない」のですから、バックアップデータを復元するときに詳しい人にやってもらうことを想定して、一応念のために「WordPressのXMLエクスポート」へのチェックは入れておきます。
XMLエクスポートすることでサーバに負荷がかかってバックアップに失敗するなんてことがあるのかどうかわかりませんが、そうならない限りは、やっておいても損ではないと思います。
(なお、復元時は ここで作ったXMLファイルはサーバにアップしないように注意します。
してしまったら必ず消します。)
同じ記事データは、同じ階層にバックアップされた「.sql」拡張子のMySQLデータベース内にも格納されていますが、素人がそこから記事データを簡単に取り出すのはまず無理ですし、Wordpressの復元のとき、プロの人におまかせするときに、細かい復元をしなければならない時などにもしかしたら何かの役に立つかもしれません。
※あと、バックアップ時の大切なこととして、今ここでバックアップした時点のログインユーザー名とパスワード、およびログイン画面URLの記録があります。暗号化したドライブなどに、Excelファイルなどで、「バックアップZIPの名前」と「ログインユーザー名・パスワード」および「ログイン画面URL」の紐付き表を作って保管しておきます。
でないともしユーザー名やパスワードを今後変えてしまった場合に、本当の緊急時に復元をした際に、ログイン画面は出せてもログインできなくなってしまいます。
もし忘れてしまった場合は、次のWebページを参考にしてください。
【Wordpress】ログイン用ユーザー名とパスワード両方とも忘れてしまった時のphpMyAdminを変更しない初心者向け対処方
http://webtrace-cuisine.com/201305/wpphpmyadmin/
でもダメなこともあるかと思いますので、その際は、プロの方に頼んで解決してもらってください。
ダッシュボード→BackWPup→ジョブとクリックします。
先ほど「このジョブの名前」で設定したの文字列が表示されていますので、そこをマウスでポイントします。
「今すぐ実行」が表示されますのでそれを押します。
バックアップが始まります。
最初なので、何もデータがないので、20秒もかからないうちに終わると思います。
ただ、データが増えてくると、レンタルサーバ会社によっては時間がかかりすぎ、エラーなることもあるそうです。運用には少し注意が必要のようです。
参考URL:運用に関するメモ
http://netaone.com/wp/backwpup/
「ログを表示」を押すと、どんなことをしたのかがわかります。
ドラッグで選択してコピーし、テキストファイルなどに貼り付ければ保存もできます。
「閉じる」ボタンを押すと、プログレスバー(進行状況の表示)が消えます。
なお、そのときに、「前回の実行」を押してしまうとまたバックアップが実行されてしまいますので押さないようにご注意ください。
ダッシュボード→BackWPup→バックアップ にて確認できます。
バックアップデータが大きかったり、世代数が多い場合は、ここで不要なバックアップを削除します。
FFFTPなどのファイル転送ソフトから確認もできます。
「wp-admin」と同じ階層に「wp-content」フォルダがあるので、その中の「uploads」フォルダの中の「backwpup-e08471-backups」フォルダの中に入っています。
初期値はZIP形式になっていますので、.zip拡張子がついているファイルがそれです。
【バックアップデータのダウンロード】
ダッシュボード→BackWPup→バックアップ にて「ダウンロード」を押すか、FFFTPなどのファイル転送ソフトなどで「wp-content/uploads/backwpup-e08471-backups」フォルダの中の .zip拡張子ファイルを直接ダウンロードするかでできます。
【復元テスト ~ WordPressサイトの破壊と復元 ~ 】
BackWPupでバックアップしたデータの復元は、私たち素人には、正直かなり難しいです。
少なくともパーミッション(ファイルの権限属性)の変更については知っていないと多分無理だと思います。
そして特に、「phpMyAdmin」というソフトが組み込まれていないレンタルサーバでは苦労します。
ただし、ここでは、「phpMyAdmin」を自分でレンタルサーバにインストールして、かつ、BackWPupにてバックアップしたデータを復元する方法を、できるだけ初心者の方でもできるようにまとめてみました。
流れとしては次のようになると思います。
(a)いったんここまで作ったWordpressサイトをバックアップ(フロントエンド、バッエンドともに)
(b)バックアップ時点での管理ユーザーのログインユーザー名とパスワードを準備
(c)作ったWordpressサイトを丸ごと削除か、もしくはログインできない状態に設定してしまう(破壊)
(d)phpMyAdminにてバックエンドを復元
(e)FTPクライアントソフトでフロントエンドのファイル群をWordpressのインストールディレクトリにアップロード
実際の詳しいやり方については、超長くなってしまいますので、
を参照してください。
==============================================================================
● WordPressのサイト丸ごとのバックアップと引っ越しや復元。もう一つの次元の違うかなり簡単な方法01
「duplicator」というプラグインを使います。
復元の簡単さをご理解いただくため、復元の流れだけ書いておきます。
バックアップの方法は
http://netaone.com/wp/duplicator/
や
http://affilijoshi.com/wordpress/1966/
を参照してみてください。
【「duplicator」での復元の方法】
wp-config.phpファイルをFTPソフトでダウンロードします。(あとでwp-config.phpファイルを削除するのでここで念のためにバックアップも兼ねます。wp-config.phpファイルのありかはFilezillaなどのFTPソフトで検索してください。面倒な場合は基本、Wordpressのインストールディレクトリの「wp-admin」フォルダと同じ階層にありますので探してください。)
バックアップでダウンロードした「installer.php」と「20170122_test_5884bd86796315246170122141118_archive.zip」のような名前の圧縮ファイルをFTPソフトで、wp-adminフォルダと同じ階層にコピーします。
ここで 同じ階層にある wp-config.phpファイルを削除します。
ブラウザで、 http://ドメイン名/Wordpressのインストールフォルダ名/installer.php でアクセスします。
wp-config.phpファイルの中を見ながら、Host、Name、User、Password を入力します。
下にスクロールして、 I have read all warnings & notices にチェックを入れ、「Run Deployment」を押します。
何かメッセージが出ますがOKします。
データの吸い込みや上書きが始まりますのでしばらく待ちます。
「Step 2: Update Files & Database」の画面になったら、表示内容を一応見て、「Run Update」を押します。
完了すると、4つほどボタンが出るので、「Test Site」ボタンを押して自分のサイトが出たらOKです。
ログイン画面については、もしSITEGUARDを使っていたら、以下の2つでアクセスして試します。
・SITEGUARDで設定したログインURL
・http://ドメイン名/Wordpressの格納されたフォルダパス/wp-login.php
いずれかでログインできたら、SITEGUARDの再設定をします。
・「ログインページ変更」にて、をURLが以前と違っていないか確認してON→「変更を保存」
・設定したURLでのログアウトとログインを試します。
・OKなら「管理ページアクセス制限」にてON→「変更を保存」
テストしたい場合は、以下のようにします。
・FTPソフトで「wp-admin」フォルダと同じ階層にある「.htaccess」ファイルをダウンロード
・Terapadにて、「RewriteCond %{REMOTE_ADDR} !^123\.456\.78\.90$」のような行を全部消します。
・上書き保存したものをアップロードしてWeb側も上書き
・http://www.cccccc.com/xxxx/wp-admin/ でサイトにアクセス
・「404 Error - Not Found 指定されたページ(URL)は見つかりません。」エラーになったら正常です。
サイトアドレスの変更→ダッシュボード→設定→一般 →「サイトアドレス (URL)」の「wp」を取る、日付け、時刻のフォーマット変更
FTPソフトで最初にサーバ側にコピーした「installer.php」と「20170122_test_5884bd86796315246170122141118_archive.zip」のような名前の圧縮ファイルを消します。
「duplicator」というプラグインを使うと、ハイスペックなレンタルサーバでしかダメなようですが、BackWPupとは比べものにならないほど、簡単にバックアップと復元ができ、さらには、まったく違うレンタルサーバに移籍したときでも、簡単に引っ越しができるそうです。
「このレベルが普通の人がおもう、簡単、っていうコトだよなあ~」と思いました。
万能ではないようですが、小規模とか、ほとんど記事ばっかりで画像はない、とかのWordpressサイトでしたら、こちらのほうが重宝するかもしれません。
ただ(繰り返しになりますが)「duplicator」も同類ソフトも、結局は長所短所があって完璧ではないみたいですし、(復元が難しいけど)BackWPupも悪くはないので、保険の意味でも、両タイプが使えると良いとは思います。
僕のレンタルサーバの環境と状態では、「All-in-One WP Migration」よりも安定はしていました。
「All-in-One WP Migration」は失敗ばかりだったのに対し、こちらは失敗がありませんでした。
ただし、日を改めたり、ファイルが増えたり、色々と状況が変わってくると、「All-in-One WP Migration」もいいのかもしれません。
どの復元ソフトも「いまいち」というのが正直な感想ですが、今のところ、あくまでも僕のサイト・環境・データ量に限ってだけ言えば、手軽さと安定さで言ったら、「duplicator」かな、という感じです。
(でも将来データ量が増えたらどれが最適かは変わるかもしれません。)
「duplicator」で復元した際に、初期状態の使っていないプラグインが残っていたらセキュリティを低下させる原因になるといけないので消しておきます。
また、復元完了後は、復元につかったファイルを2つとも必ず削除しておきます。
・installer.php (インストーラファイル)
・20170122_test_5884bd86796315246170122141118_archive.zip(バックアップ本体。データベースデータとHTMLやPHPファイルなど両方ともが入っているファイル)
※ファイル名の数字は逐一、変わります。
復元に「phpMyAdmin」のようなソフトもいらないので、無駄なセキュリティリスクを負わなくていいこともありがたいです。
※注 復元に必要なMySQLデータベースの「データベース名」や「ホスト名」などの確認方法について
いろいろやりかけてる最中に、これらは全部、自分のFTPディレクトリの中にある、「wp-config.php」に書かれているということが判明しました。
いやお恥ずかしい・・・。でも専門じゃないからしょうがないですね(^^)
「wp-config.php」に書かれている内容から「ホスト名」などを事前に調べておきます。
「wp-config.php」はWordpressのトップページのURLが 「 http://ドメイン名/nikki 」とかでしたら、ドメイン名の次の/以降の部分のフォルダの中のどこかにあります。
FFFTPなどのFTPソフトででFTPフォルダにアクセスして、お名前.comであれば・・・、
ドメイン名と同じ名前のフォルダを開く
→「nikki」フォルダを開く
→その中か、もしくはさらにそのサブフォルダ、もしくはさらにまたそのサブフォルダの中にあります。
「wp-config.php」をテキストエディタで開くと次のような箇所があります。
ここに「データベース名」その他、すべてが書いてあります。
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'abcd1234567890'); ←これが「データベース名」です。(以下すべて「'」は除きます。)
/** MySQL database username */
define('DB_USER', 'qqwweerrttugja'); ←これが「ログインユーザー名」です。
/** MySQL database password */
define('DB_PASSWORD', 'PPap$gna');←これが「ログインパスワード」です。
/** MySQL hostname */
define('DB_HOST', 'abcd1234567890.cgidb');←これが「ホスト名」です。
/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');
参考URL
Duplicator - WordPressを複製して簡単にサーバー移転ができるプラグイン
http://netaone.com/wp/duplicator/
上記サイトより引用
『使用上の注意点
1.このプラグインは、比較的規模の小さいサイトのデータ移設に利用します。Webサイト全体のファイル容量が大きい場合、処理に時間がかかりすぎてエラーになる場合があります。記事や画像ファイルの数が多いサイトでの利用には向いていません。
2.このプラグインは、処理に負荷がかかるので、いわゆる格安レンタルサーバーでは動作しません。また、WordPressを自動インストールでしかインストールできないレンタルサーバーでは利用できません。ちなみに、エックスサーバーでは問題なく動作することを確認しました。
3.WordPressを移設するには、移転先のMySQLのデータベース情報(DBホスト名、データベース名、ユーザー名、パスワード)が必要です。予め情報を用意しておきましょう。』
その他の参考URL
感動した!WordPressの引越し作業が一瞬で終わるプラグイン「Duplicator」
http://affilijoshi.com/wordpress/1966/
プラグインでWordPressを楽々お引っ越し!duplicatorならサーバー移転も簡単。
http://websae.net/wordpress-plugin-duplicator-20140905/
==============================================================================
● WordPressのサイト丸ごとのバックアップと引っ越しや復元。もう一つの次元の違うかなり簡単な方法02
「UpdraftPlus」というプラグインを使う方法です。
以下、参考URL
WordPress のバックアップと復元に!おすすめプラグイン UpdraftPlus
海外ではズバ抜けて No.1 のプラグイン
簡単に復元できることの大事さ
http://mimpiweb.net/blog/wordpress/backup-easy-restore-updraftplus/
==============================================================================
● WordPressのサイト丸ごとのバックアップと引っ越しや復元。もう一つの次元の違うかなり簡単な方法03
「All-in-One WP Migration」というプラグインを使う方法です。
使ってみた感じ、サーバとの相性の問題は置いておいて「手順だけでいうと」、個人的な感想としてはこれが一番ラクな気はします。特に初心者の方にはこれが一番いいような・・・。
(もちろん、正常動作するかはみなさま個々の環境によって違います。このプラグインがダメならとにかく成功するバックアッププラグインでやります)
データベース名などを調べる必要がない、バックアップは画像や動画などだけはバックアップしない設定にもできるなど、設定はチェックを入れるだけなので手間いらずです。
復元も、新規の空のWordpressサイトに「All-in-One WP Migration」をインストールして有効化し、ダウンロードしておいたバックアップファイル(.wpress拡張子)をブラウザにドラッグするだけで終わります。とてつもない簡単さです。
また、復元するときに、Wordpressのインストールフォルダの名前が変わってしまっていると記事のリンクが破壊されるみたいですが、変わっていなければもちろん大丈夫です。
ただ、僕の環境では失敗ばかりでした。
初心者の方のみならず、お忙しい方にももってこいです。
6000円程度で、有料版が変えるようなので、動作が安定してたらこれは買ってもいいかもしれません。→僕の環境では無料版は安定していませんでした。失敗が多かったです。結局レンタルサーバ環境やら容量やら何やらで、自分の状況に合うものが変わってくるのかもしれません。有料版はもちろん試していません。
WordPressのバックアップ&サーバー移転は「All-in-One WP Migration」プラグインで超簡単
WordPressのバックアップ作業とエックスサーバーからwpXクラウドへ移転した流れを紹介します。
https://webdesignerwork.jp/all-in-one-wp-migration/
WordPressのお引っ越しプラグインはAll-in-One WP Migrationが最強
https://its-office.jp/blog/wordpress/2016/04/16/WP-Migration.html
All-in-One WP Migration - WordPressのサーバー移設が簡単にできるプラグイン
http://netaone.com/wp/all-in-one-wp-migration/
無料版は512MBまでのようです。(といっても相当な量だと思いますので大丈夫かと思います)
リストアがすこし時間がかかります。
プラグイン同士の相性の問題もあるようです。
簡単は簡単ですごくいいみたいです。
有料版があるってことは無料版は結構安定しているのかもしれません。
All-in-One WP Migration (Google検索結果)
https://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGHP_jaJP728JP728&q=All-in-One+WP+Migration&gws_rd=ssl
● WordPressの引っ越し!移転プラグイン3選まとめ
http://ebookbrain.net/plugins-for-safely-moving-wordpress/
「Duplicator」「UpdraftPlus」「All-in-One WP Migration」のメリットデメリットが書かれています。
BackWPupも含めて、結局どれもこれもハイスペックなレンタルサーバじゃないと何かしらのトラブルが起こる可能性があるみたいですね。
==============================================================================
自動バックアップだと、BackWPupにしてもその他のプラグインにしても、どんどんどんどん増えて、レンタルサーバのスペースを圧迫してしまうので、次のような形でとるのが良いかもしれません。
まずは BackWPup で適度にバックアップ
→どこかで自分のパソコンにすべてのバックアップをダウンロード
→ダウンロードしたバックアップは全部消す。
Duplicator
→まったく空の状態にしてから、丸ごとバックアップ
→すぐにバックアップをダウンロード。
→ダウンロードしたバックアップは全部消す。
再度BackWPup で適度にバックアップ
→どこかで自分のパソコンにすべてのバックアップをダウンロード
→ダウンロードしたバックアップは全部消す。
Duplicator
→まったく空の状態にしてから、丸ごとバックアップ
→すぐにバックアップをダウンロード。
→ダウンロードしたバックアップは全部消す。
の繰り返し
==============================================================================
● セキュリティ上、テーブルの接頭辞(=接頭語=プレフィックス)を変更する
「WAF」が標準装備ではないレンタルサーバの場合、これは必ずやっておく必要があります。
(効果があるのか無いのか、私は素人なのでわかりませんがやらないよりは絶対にいいと思います)
手動やる方法とプラグインでやる方法の2つがあります。
なお、これをやる前に、必ず、バックアップをとっておきます。
プラグインでやる方法はWeb検索で出てくると思いますのでそれでやります。
「Acunetix WP Security」などのプラグインがあるみたいです。
(動きも重くならないらしく、私たち初心者にはおすすめかもしれません!)
実際、超簡単でした。(ここでは Acunetix WP Security プラグインをのちほどインストールしますので、そこでプレフィックスの変更方法を後述します)
手動でやる方法は、「phpMyAdmin」が必要です。
もしレンタルサーバにそれが標準装備されていない場合は、「phpMyAdmin」の手動インストールが必要です。
そのうえで、「phpMyAdmin」の画面より、手動でプレフィックスの変更を行います。
プラグインと手動のどちらがいいかは、なんとも言えませんが、トラブル解決できるようになるためには両方できたほうがいいことは間違いないです。
でもテストサイトを別の場所に作っておき、もし緊急なら、本番用サイトは「Acunetix WP Security」プラグインでやってしまって、テストサイトで手動の方法練習する、という形でもいいかもしれません。
練習用のサイトは放置するとセキュリティリスクになりますので、練習が終わるたびにフロントエンドもバックエンドも、また「phpMyAdmin」を手動インストールした際は「phpMyAdmin」も全削除してください。
手動での方法は 長いので別紙を参照してください。
★ 【WordPressサイトの破壊と復元】お名前.comの共用SDサーバで「phpMyAdmin」をインストールし、現在のMySQLデータベースに接続し、WordPressのバックアップデータの復元をする方法
と
WordPressのプレフィックスの変更方法。「wp_」から「udon_5_」に変更する場合
の2つです。
==============================================================================
● セキュリティ上、ダッシュボードの「更新」に丸い数字のアイコンがあったら、全部やる
プラグイン、その他、いろんな自動更新を必ず実施する。
==============================================================================
● セキュリティ上、全てのフォルダ、「.htaccess」ファイル、HTML・js・画像ファイル、phpファイル等の属性(パーミッション)を変更する。
WordPressに限らず、ファイルやフォルダの属性設定については、重要みたいです。
Wordpressに関しては、レンタルサーバの管理画面からのインストール直後はまだいいのですが、Wordpressのバックアップデータからの復元作業をしたあとも特に重要になりそうです。
バックアップデータからの復元直後は、すべてのファイルやフォルダの属性(パーミッション)」が共用サーバの他人がファイルをどうになできてしまう状況であることが多いからです。(後述)
★パーミッションの一括変更においては、FTPソフトでパーミッションを変更した際に、間違ってフォルダを700などにしてしまうとページにアクセスできなくなったりしますので、念のために「バックアップ」をとってからパーミッションの一括変更をします。(パーミッションは間違えてもいつでも直せるので必要ないかもしれませんが、私たちはまだ初心者なので一応念のため・・・)
Filezillaなどで一括のパーミッション設定をする際は、十分に気を付けて慎重に行いましょう。
特に共用サーバでは、真ん中の数字が「0」以外だと「一人がハッキング(クラッキング)されただけで自分も芋ずる式にクラッキングされてしまう」そうですので、必ず「0」に設定しないといけないそうです。
真ん中の数字は「0」以外は、「同じグループの人は見たり書き換えたりできる」という設定ができる場所です。
そのような設定箇所で「0」以外になっていると、共用サーバの場合は、「Aさん一人がクラッキングされると、Aさんと同じグループの人は全員芋づる式に、Aさんになりすましてクラッキングできる」という感じになるそうです。
なので、共用サーバの場合は、真ん中の数字は必ず「0」にしなければならないそうです。
各レンタルサーバで設定値が違うと思いますので、ご自分のレンタルサーバにも問い合わせしてみてください。
★属性の変更の流れ
すべてのファイルのパーミッションを変更する際は、次のような流れで良いと思います。
まずすべてのファイルを「604」に変更してしまいます。(フォルダはやりません)
次にフォルダをすべて、「705」に変更します。
これは真ん中の数字を全ファイル「0」することで、とにかく、共用サーバの他の人(まれにクラッカー=悪意のハッカー)からファイルをいじられないようにするための設定です。
そのあと、「.htaccess」拡張子のファイルがもし「604」になっていなかったら、手動でひとつひとつ、「604」にします。
(Filezillaでは検索機能で検索すると「.htaccess」拡張子のファイルのパス=ありかが分わかるのでそれをコピペメモして手動で変更します。)
あとはこれ以降の情報をもとに、「wp-config.php」を「404」か「400」にします。
以上のような設定にすると、「Acunetix WP Security」のようなセキュリティ関係のプラグイン上で、「644が最適だから604や400はダメ!変えて!」みたいな表示がされることもあるかもしれませんが、特に共用サーバの場合は、真ん中の数字が 0じゃないと危ないらしいので、セキュリティプラグイン上の表示は無視します。
あと「wp-config.php」を「404」や「400」にした場合は、「Acunetix WP Security」においては、以下のことも注意が必要です。
※注
wp-config.php の属性を 400にしていると、
「The wp-config file MUST be writable!(wp-configファイルは書き込み可能でなければなりません。)」という警告が出てプレフィックスを入力するテキストボックスが表示されなくなるので、
wp-config.php の属性を 604にしてからテーブルの接頭語を変更します。
そして、作業が終わったらwp-config.php の属性を 400に戻します。
★セキュリティ上、属性(パーミッション)の参考値
例えばですが、FTPソフトを使って、Wordpress関連のファイルは以下のように属性の設定を変更します。
https://heteml.jp/pages/security/ によると以降のような感じが一例として挙げられていました。
2013年に、大量のWordpressハッキング被害サイトを生み出したロリポップというレンタルサーバ http://lolipop.jp/security/ も同じ設定です。
http://lolipop.jp/security/ の内容も参考になると思いますので、ご一読ください。
HTML・画像ファイル 604 rw----r--
CGIの実行ファイル 700 rwx------
CGIのデータファイル 600 rw-------
.htaccessファイル 604 rw----r--
フォルダ 705 rwx---r-x
http://wordpress-custom.jp/security/security-permission-2.html では、次のようとあります。
画像ファイル・HTML・js 604
wp-config.php 404 より安全性を高めるために「400」
.htaccessファイル 604 【重要】「.htaccess」ファイルが書き換えられる事例が多発
※パーマリンクの設定が可能なのは「606」?
ディレクトリ 705
php.ini 600
php.cgi 711
php5.cgi 100
php.ini、php.cgi はサーバ用の設定な気がしたので、一般ユーザーには関係ない気がします。
★ 「.htaccess」ファイルは FileZillaでは一括変更できないようです。
検索機能で検索してパスをチェックし、ひとつずつパーミッションを変更しないといけないみたいです。
検索してヒットしたパスは、Ctrl+Aですべて選択したのち、右クリックで、クリップボードへコピー、で、すべてのパスをコピーできます。
あとはテキストファイルにペーストして、1つずつ、htaccessのパーミッションを変更します。
★パーミッションの一括変更においては、FTPソフトでパーミッションを変更した際に、間違ってフォルダを700などにしてしまうとページにアクセスできなくなったりします。なので、一応年念のために バックアップをとってからパーミッションの一括変更をします。(パーミッションは間違えてもいつでも直せるので必要ないかもしれませんが、私たちはまだ初心者なので一応念のため・・・)
参考URL
レンタルサーバー heteml セキュリティについて
https://heteml.jp/pages/security/
WordPressの理想的なパーミッション設定は?権限を見直してセキュリティ強化しよう
共用サーバーのパーミッションについて
https://www.webernote.net/wordpress/wp-permission.html
==============================================================================
● セキュリティ上、「wp-config.php」ファイルの属性(パーミッション)を変更する
FTPソフトで、「wp-config.php」ファイルの属性を変更しておきます。
644や604から600や400に変更しておきます。
一般的には、400が一番望ましいそうです。
共用サーバで400が設定できない場合は、600で。
ただ、400にすると最新のWordpressにバージョンアップしたあとに、ログイン画面にアクセスできなくなるなどのトラブルが発生する場合もあるようですので、むやみに変えずに、レンタルサーバ推奨の属性が正解なのかもしれません。
(wp-config.phpをデフォルトの場所から移動したりとか)
「wp-config.php」には、
MySQLデータベース名、
MySQLホスト名
ユーザー名(MySQLデータベースに入るための)
パスワード(MySQLデータベースに入るための)
など、その他重要な情報が入っていますので、他者に覗かれると非常にまずいです。
ですので、これはぜひ対策をしておいたほうがいいと思います。
なお、プラグインのインストール時にトラブルがあったときや、何らかの設定変更が必要なときだけ、いったん、属性を604などに戻してみます。
関係ないとわかったらその後も600や400に変更しておきます。
400が一番の望ましいそうです。
参考URL
WordPressインストール時から実施すべき6つのセキュリティ対策
https://blog.kairosmarketing.net/wordpress/wordpress-installation-security-20131111/
==============================================================================
● セキュリティ上、Wordpressやプラグインのバージョン情報を表示させない設定にする
インターネットエクスプローラ11なら、「表示」→「ソース」で、画面下方に表示されたWebページのソース内容が表示されます。
それをCtrl+Aですべて選択して、テキストファイルにコピペします。
そして、「ver=」と「WordPress」で検索します。
次のURLのサイト(特にhttp://mw-s.jp/wordpress-ver-delete)を参考に、
まずは「WordPress」で検索してバージョン情報が出てきたら、それを表示しない設定にします。
次に「ver=」で検索してバージョン情報が出てきたら、必要に応じてそれを表示しない設定にします。
参考URL
WordPressのバージョン情報を消す方法(セキュリティ対策)
http://mw-s.jp/wordpress-ver-delete/
その他の参考URL
WordPressのバージョン情報を非表示にする方法
http://evm-label.com/2015/01/wordpress_version01/
WordPressの余分なヘッダをインストール時に整理する
https://blog.kairosmarketing.net/wordpress/wordpress-installation-security-20131111/#WordPress-3
==============================================================================
ダッシュボード→外観→テーマにて。
使わないテーマをクリックし、画面右側の「削除」で消します。
==============================================================================
● セキュリティ上、「Acunetix WP Security」プラグインで残りの細かいセキュリティを設定し、設定がどの程度になったかをチェックする
「Acunetix WP Security」プラグイン を使ってみます。
インストールや設定は以下のURLが一番わかりやすいと思います。
このプラグインは英語版ですが、このサイトはそれでも分かるようにやりやすくなるように書いてあります。
https://nakaeshogo.com/acunetix-wp-security/
・「wp-admin」フォルダへの「.htaccess」のアップロード
▲▲・http://www.cgis.biz/tools/access/
から「.htaccess」ファイルをダウンロード。
これは国内からのアクセス以外はハネる設定のようです。
ダウンロードした「.htaccess」を「wp-admin」フォルダにアップロードして属性を604に変更します。
・ルートの「readme.html」の削除
Windowsの場合、readme.html はロックを解除する方法がこのサイトからは分からないので、サーバから削除してしまってもいいです。
それで緑色(OK)になります。
・「/wp-admin」フォルダの「install.php」をいったんダウンロード
その後、「install.php」を削除
削除してもすぐに緑色にならないので、しばらく時間を置いてから色を確認する。
・「/wp-admin」フォルダの「upgrade.php」をいったんダウンロード
その後、「upgrade.php」を削除
「update.php」と間違えないように注意する。
・テーブル接頭語の変更
まず念のために、バックアップ用プラグインにて、現在の状態を丸ごとバックアップします。
WP Security→Database→にて、「Backup」を押します。sqlファイルがバックアックされたことが表示されます。
画面を下にスクロールして、Change the current: の値を「wp_」から好きな意味不明の値に変更します。
値は大文字小文字とアンダーバーを混ぜます。
新しい値を入力したら「Start Renaming」を押します。
※注
wp-config.php の属性を 400にしていると、
「The wp-config file MUST be writable!(wp-configファイルは書き込み可能でなければなりません。)」という警告が出てプレフィックスを入力するテキストボックスが表示されなくなるので、
wp-config.php の属性を 604にしてからテーブルの接頭語を変更します。
そして、作業が終わったらwp-config.php の属性を 400に戻します。
とりあえず以上です。
ちなみにですが、「Acunetix WP Security」プラグインで設定して、再度、「Acunetix WP Security」プラグインをインストールしなおすと、初期設定では半数以上の設定がグリーンなくなります。イエロー、レッドになります。
ということは「Acunetix WP Security」プラグインを入れてないと、結構、細かい設定がOFFになってしまい、危険度が増す、ということです。
ということは多少、サーバのメモリを使ってしまっているんでしょうか?
よくわかりませんが、SITEGUARDと併用している場合は、その他のセキュリティプラグインは追加しないほうがいいかもしれません。
あまりたくさんのセキュリティプラグインを入れると、メモリを消費してWordpressの動作が遅くなるということもあるらしいですので・・・。
メモリ領域を圧迫し・・・
https://securitynavi.jp/3611
WAFが標準装備のレンタルサーバでは、「All In One WP Security & Firewall」を使うほうがいいいかもしれません。
「Acunetix WP Security」と併用しても速度低下が起こらないハイスペックなレンタルサーバはこの限りではないかもしれません・・・。
あんまり入れすぎて衝突が起こるのも怖いですから、SITEGUARDともう一つだけ、というのがいいのかもしれません。
逆に、あまり書き込みがないようなWordpressサイトになりそうなら、SITEGUARD、「Acunetix WP Security」「All In One WP Security & Firewall」の3つを併用してもよいかもしれません。
特に、WAFのないレンタルサーバは、考えてみてもいいかもしれません。
バランスについては、詳しくは専門家にご相談ください。
その他の参考URL
http://dmgadget.info/wordpress-acunetix-wp-security-change-permission/
http://dmgadget.info/wordpress-acunetix-wp-security-table-prefix/
http://dmgadget.info/wordpress-htaccess-wp-admin/
==============================================================================
● セキュリティ上、「All In One WP Security & Firewall」プラグインで残りの細かいセキュリティを設定し、設定がどの程度になったかをチェックする
以下のサイトに使い方が説明してありますので設定方法などはこちらをご参考にしてください。
All In One WP Security & Firewallの使い方『ワードプレスのセキュリティ対策プラグイン』
http://less-is-more.jp/all-in-one-wp-security-and-firewall/
==============================================================================
★7つのプラグインのインストール
もうすでにインストール方法や設定方法などは説明してしまいましたが、結局今回の事例では、以下のプラグインをインストールしたことになります。
「BackWPup」プラグイン:(phpMyAdminを必要とするややこしいバックアップ)
「Disable Comments」プラグイン:(コメント全面禁止)
「TinyMCE Advanced」プラグイン:(記事を書きやすくする)
「Duplicator」プラグイン:(もう一つの簡単なバックアップと復元)
「SiteGuard」プラグイン:(セキュリティ設定)
「Acunetix WP Security」プラグイン:(接頭語の変更、各種セキュリティ設定)
「OnePress Image Elevator」プラグイン:(クリップボードの画像を記事に直接貼り付け)
※2017/0/01 訂正
「OnePress Image Elevator」プラグインは使い勝手が悪いのと、画像やPDFをMySQLの外に格納したかったので、UWSCとBASP21でほぼ同等の機能を自作しました。以下の記事を参考にしてください。
★ WordPress・Win10 ~ UWSCとBasp21を使って、
キャプチャ画像をFTP自動送信し、その画像のImgタグを自動生成する
(「OnePress Image Elevator」プラグインのかわり)
・ Basp21のダウンロードとインストール
・ 「Basp21での画像FTPとその画像へのImgタグ自動生成.uws」
・ 設定例
・ 「Basp21での画像FTPとその画像へのImgタグ自動生成.uws」プログラム解説コメントつき
★テーマ「BizVector」のダウンロードとインストール
「BizVector」テーマ
ダウンロード:http://bizvektor.com/about/download/
インストールと有効化:http://www.nishi2002.com/11175.html のまんなかあたりに解説があります。
ZIPファイルのまま処理します。
インストールしたらすぐに有効化をします。
表示するときのフォントの種類とサイズの変更をします。
CSSのフォントファミリーというのを使うそうです。
これをやることで、記事や固定ページを投稿するときにいちいち文字の大きさや何かを気にしなくても(指定しなくても)デフォルト表示してくれます。
なので記事ごとに細かく色々フォントを変えたい人はやらなくてもいいです。
(といっても、各投稿記事の画面にて普通にフォントの設定をすれば、そちらの設定が優先されます。小さく文字を設定すれば、その設定のほうが、ここでの設定よりも優先されて表示されます。ですので、ここでの設定はやってもやらなくてもどちらでも大丈夫です。)
外観→テーマの編集→スクロールして一番下の「スタイルシート(style.css)」を押す→最後尾に以下の内容をコピペ
/*-----------------------------------------------------------------------*/
/* BizVektor の、固定ページ、投稿、の本文の フォント表示の基本設定
/*-----------------------------------------------------------------------*/
/* フォントの色と種類 「font-family 意味」でGoogle検索*/
body{
color: #323232;
font-family:"arial","Meiryo","メイリオ","Hiragino Kaku Gothic ProN","ヒラギノ角ゴ ProN W3",sans-serif;
}
/* フォントの大きさ 「font-size:100%」のところの数字を好きに変える*/
body { font-size:100%;line-height:130%;-webkit-text-size-adjust : 100%; }
dt { font-weight: bold; }
strong { font-weight: bold; }
コピペしたら「ファイルを更新」ボタンを必ず押します。
更新したのちに、公開ページを見ると、ここで指定したフォントの種類、色、サイズ、で全部の記事が表示されます。(本文のみ)
表示する既定のフォントを変えたかったら、https://w3g.jp/sample/css/font-family と https://dekiru.net/article/13111/ を読んである程度理解してから、「font-family:」のところの "arial" を好きなフォントに変える。ただし、見る人のパソコンに入っているもので。
最優先で表示させたいフォントを一番最初に書けばいいそうです。
https://w3g.jp/sample/css/font-family の一覧を見て、アルファベットの名前のほかに、日本語名もあるものはアルファベット名を先に書きます。
アルファベット名は本当は「"」で囲まなくてもいいのですが、記述ミスがあるといけないので、一応、統一でアルファベット名も「"」で囲みます。
色は、 http://ironodata.info/search/ でカラーピッカーを操作して好きな色を選びます。
円の部分と正方形の部分をそれぞれクリックすることで色を決めることができます。
決まった色が、その真上に表示されますが、その中に出てきた値「#××××××」をコピペすればOKです。
「#323232」はかなり濃いグレーです。色々とためしてみてください。
なお、各投稿や固定ページごとに、フォントを変えたければ、投稿時に上記既定以外のフォントを指定すればそれで表示されます。種類、サイズ、色、等々、HTMLで指定したとおりに表示されます。
★グローバルメニューを右寄せにしない設定、以前のBizVektorのような設定にする
外観→テーマオプション→デザイン→「Rebuild」を「Default」に変更して「変更を保存」
「Default」以外も使ってみる。
http://www.nishi2002.com/14652.html を参考に、メニューの左寄せとともに、次項のように設定する
★グローバルメニューを「Rebuild」のまま、左寄せにして、フォントの大きさも指定
外観→テーマの編集→スクロールして一番下の「スタイルシート(style.css)」を押す→最後尾に以下の内容をコピペして、必ず「更新」
/*-----------------------------------------------------------------------*/
/* BizVektor の、Rebuildスキンの既定のまま、でのグローバルメニューの設定
/*-----------------------------------------------------------------------*/
/* グローバルメニュー全体のフォントサイズを設定 */
#gMenu .menu li {
font-size: 10px;
}
/* グローバルメニューが右寄りになってしまうので、左寄りに設定 */
/* padding-left:0px が最も左。0pxを数値を上げるごとに右寄りになります。*/
@media(min-width:970px){
#gMenu{float:left;padding-left:0px;}
}
★投稿記事のリンクの色の設定
外観→テーマの編集→スクロールして一番下の「スタイルシート(style.css)」を押す→最後尾に以下の内容をコピペして、必ず「更新」
/*-----------------------------------------------------------------------*/
/* 投稿記事のリンクの色の設定設定
/* 「#00000」の数字を好きな色の数字に変えます。redとかの指定も可
/*-----------------------------------------------------------------------*/
a { overflow: hidden; color:#000000; }
a:hover,
a:active { color: #000000; }
オレンジ→ff8c00
参考URL
http://sabidome.net/blog/20150624/
検索語句:bizvektor リンク 色
★ダブルクォーテーションなどを勝手に違う記号に置換するのを回避
http://freesoft.0hs.org/4200.html
より。同じ気持ちのかたが いてくれてすごくうれしいです!!!!
そして本当に感謝しています!!!!m( _ _ )m
(Wordpressのおせっかいに気がついたとき膨大な量の「"」をどうしようと青くなってしまったので・・・)
やり方は、使っているテーマの「functions.php」に以下のコードを追記します。
/*--------ダブルコーテーション等置換禁止-------------------*/
/*--------http://freesoft.0hs.org/4200.htmlより-------------------*/
/*--------引用「上から、本文内の自動変換防止、抜粋表示の自動変換防止、タイトル内の自動変換防止を意味しているそうだ。」-------------------*/
remove_filter('the_content', 'wptexturize');
remove_filter('the_excerpt', 'wptexturize');
remove_filter('the_title', 'wptexturize');
恐らくですが、1行目の「<?php」の行以降なら、たぶんどこに書いてもいいんだと思います。
(違ってたらすみません!)
なお、「functions.php」のありかは、
/euc-access-excel-db.com/tips/wp/wp-content/themes
の中の使っているテーマのフォルダの中です。
http://freesoft.0hs.org/4200.html
によると、直接、FTPソフトとテキストエディタで書き換えるほうが安全みたいです。
★ 管理画面で投稿一覧を、更新日時順にソートできるようにする方法
以下のWebページのコードを、「functions.php」にコピペして更新するとできます。
・WordPressの管理画面に「最終更新日」の項目を増やし、ソートで並び替えたい!
http://hikarika.jp/wp-updated-sort/
※「ヒカリカ」様には本当に感謝しています。
(01)「外観」→「テーマの編集」にて、画面右側の「テーマのための関数 (functions.php)」をクリック
(「functions-org.php」をクリックしないようにご注意ください。)
(02)画面中央に、「functions.php」の内容が表示されるので、先頭行の「<?php」の次に、上記サイトのコードをコピペします。
(03)「ファイルを更新」のボタンを押して完了です。
基本的にはすぐには必要ないと思いますが、必要そうなことだけやってみます
WordPressの初期設定10箇所まとめ
http://www.nishi2002.com/8385.html
も参考に。
2 サイトのキャッチフレーズを変更
6 サンプル記事「Hello world!」を削除
8 スラッグ入力枠の表示
9 デザインテンプレート(テーマ)の変更
10 ヘッダー画像のサイズをチェック
あたりをチェックするとよいかもしれません。
その他はすでに設定が終わっているか、後ほど設定します。
「未分類」カテゴリの文言変更→投稿→カテゴリ→「未分類」にマウス乗せ→「編集」
パーマリンクとはWordpressだけの専門用語で、投稿ページのURLの「本名」みたいなものです。
既定だと投稿に数字の名前が付きます。
例えば何か 料理に関係する投稿をしたとしても、投稿を最初に保存した時点では、Wordpressではユーザーが自由に名前を決めることができません。
Wordpressが自動的に http://www.xxxxxxx.com/nikki/235 という数字のアドレスを付与してくれます。
このとき、パーマリンクの設定を「カスタム構造」に変えていれば、その数字の名前に「ニックネーム(スラッグ)」を付けてそれで代用してURLを構成できます。
たとえば、「235」といった数字の投稿には、「cooking-01」などのニックネームをつけることができます。
そうすると、http://www.xxxxxxx.com/nikki/235 というパーマリンクを http://www.xxxxxxx.com/nikki/cooking-01 として扱えるようになります。
サイトを訪れた人にも、本来 http://www.xxxxxxx.com/nikki/235 と表示されるはずの投稿が、 http://www.xxxxxxx.com/nikki/cooking-01と見えています。(いずれも「.html」は末尾には付きません)
逆に、パーマリンクの設定を「カスタム構造」に変えていなければ数字のままです。
パーマリンク=本名、といった意味がわかりましたでしょうか?
で、このとき、このニックネームのことをWordpressでは「スラッグ」と呼んでいます。
では以下、スラッグをURLに含めたい場合の設定です。
設定→パーマリンク設定→カスタム構造→変更を保存
(カスタム構造の最後が「/%postname%/」のようにスラッシュで終わっていると、変更が保存できないことがあるかもしれませんのでその場合は、スラッシュを取って変更を保存をしてみてください。)
なので、最初の投稿をするまえに終えておくことをおすすめします。
そして、設定したら(変えることができても)変えないことをおすすめします。
★ダッシュボードでのその他の設定 (必ず最後に「変更を保存」「更新」「適用」などを行います。)
設定→一般→ 「サイトアドレス (URL) 」の「wp」などの、機械プログラムがwordpressを使っていることを簡単に推測できてしまうようなものをURLから取り「変更を保存」。そのほか、「メールアドレス 」「日付のフォーマット」「時刻のフォーマット」なども必要に応じて変えます。「変更を保存」
設定→パーマリンク設定→カスタム構造を選んで入力欄に「/%postname%」と入力→「変更を保存」(最後のスラッシュは消します)
設定→ディスカッション→「新しい記事に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける」をOFFにします。「投稿のデフォルト設定」は全部OFFにしてあとはデフォのままにします。この「ディスカッション」設定は「Disable Comments」プラグインをインストールしてONにすると、まるごと表示されなくなります。
設定→「Disable Comments」→「どこでも: WordPress 内のコメント関連のコントロールと設定をすべて無効化します。 」に丸ポチをつけて「変更を保存」(「ディスカッション」設定のメニュー表示が消えます。)
外観→ヘッダー→ヘッダー画像→「画像を非表示」→保存して公開
投稿→新規追加→表示オプション→画面を一番上までスクロールして右上の「表示オプション」をクリックして「スラッグ」をチェックします。(すでに入っているかも)
固定ページ→「表示オプション」をクリックして「スラッグ」をチェック。
外観→ウィジェット→画面左上のほうの「メタ情報」を画面一番下の「停止中のウィジェット」にドラッグ→トップページに「ログイン」や「ログアウト」が表示されなくなります。
固定ページは、
・グローバルメニューの各項目の、さらにサブメニューの目次を色々と作っておきたい場合
・投稿みたいな文字情報中心じゃなくて、綺麗な画像や線、いろんなものを含めたページにリンクさせたい場合、
等々に作るといいと思います。
グローバルメニューのドロップダウンメニューは、すべて固定ページで構成しなくても、
・カスタムリンク(URLを指定してそこへ飛べるドロップダウンメニュー)
・カテゴリ
・投稿
を含めることができるので、かなり色々とできます。
メニューの階層構造(ドロップダウン構造)は基本的には、
・カスタムリンク(URLを指定してそこへ飛べるドロップダウンメニュー)
・カテゴリ
・投稿
中心に構成し、必要なところだけを固定ページにする、というやり方が面倒がなさそうです。
目次を作りたい場合も、
・親項目はカテゴリで作り、それをメニューに追加
・「同じ名前+目次」という固定ページを作り、サブメニューの一番上に配置
というパターンが、サイトに来てくれた人が迷わないかもしれません。
たいていの人は、メニュバーの親項目はいったん、(マウスオーバーじゃなく)明確にクリックのほうをして、そしてドロップダウンを表示したまま、その内容を見たいので。初期設定のまま(親項目=即固定ページ)だと、親項目を押した時点でドロップダウンが消えてしまい、固定ページに飛んでしまうので、あれっ?え?なんで?となってしまうといけないので。
・・・と思ったら、カテゴリを親にしても、そのカテゴリの一覧表示になってしまうので、固定ページのほうがましでした。これは却下。
メニュー項目の親項目は固定ページがいいみたいです。
外観→メニュー、で「メニュー構造」(画面右側)が表示されます。
あらかじめ作成しておいた「固定ページ、投稿、、カテゴリ」、および、「カスタムリンク(URL指定)」をドロップダウンメニューとして追加できます。
メニューの階層構造(ドロップダウン構造)は基本的には、
・カスタムリンク(URLを指定してそこへ飛べるドロップダウンメニュー)
・カテゴリ
・投稿
中心に構成し、必要なところだけを固定ページにする、というやり方が面倒がなさそうです。
・設定前の準備
画面左上の「表示オプション」を押し、「リンクターゲット」だけでいいのでチェックマークを入れておきます。
ここにチェックを入れると、カスタムリンクでURL指定したときに、同一窓で開かせるか、別の窓で開かせるかの指定ができるようになります。
そのほか、HTML作成に詳しい方は「タイトルの属性」以降の項目もチェックを入れます。
なお、画面最下方の「固定ページを自動追加」にチェックを入れると、固定ページを作った瞬間に、「メニュー構造」の画面・右側に、その固定ページの名前が自動追加され、トップ画面にもメニューとして加わります。それが煩雑と感じる場合は、ここのチェックを入れないでおきます。
・新規メニューの作成と、トップページに表示するかどうかの設定
外観→メニュー→新規
・固定ページをドロップダウンメニューとして追加する場合
固定ページを作成すると、勝手に「メニュー構造」の画面に追加されるようです。
不要なら、そこから削除します。
その後、やっぱり追加したくなったら、やり方は、次項「カテゴリ」の流れと同じです。
ドロップダウンとしてクリックしたときは、同一窓内でその固定ページにジャンプします。
・カスタムリンクの場合
「リンク文字」を入れます。これがドロップダウンメニューの名前になります。
「URL」を入れます。
「メニューに追加」を押します。
ドラッグで好きな場所に移動させて、位置が決まったら、「メニューを保存」ボタンを押して確定します。
ドロップダウンとしてクリックしたときは、自サイト内のURLなら同一窓内でそのリンク先にジャンプします。
別窓(というか別タブ)で開かせたいときは、保存する前に「リンクを新しいタブで開く 」にチェックを入れます。
参考URL
http://www.ikedahayato.com/index.php/archives/15459
検索語句:wordpress カスタムリンク 別ウィンドウ
・カテゴリの場合
カテゴリを作成しておきます。
「メニュー構造」の画面を開き、画面左側の「カテゴリ」から、追加したいカテゴリ名を探します。
(よく使うもの・タブ、すべて表示・タブ、検索・タブ から探せます)
見つかったら、そのカテゴリ名にチェックマークを入れて、「メニューに追加」ボタンを押します。
ドラッグで好きな場所に移動させて、位置が決まったら、「メニューを保存」ボタンを押して確定します。
ドロップダウンとしてクリックしたときは、そのカテゴリの投稿が同一窓内に一覧表示されます。
別窓(というか別タブ)で開かせたいときは、保存する前に「リンクを新しいタブで開く 」にチェックを入れます。
★トップページ以外のサイドバーに「検索」と「カテゴリ」を表示する
【サイドバー(投稿)】
ダッシュボード→外観→ウィジェット→画面右側の「サイドバー(投稿)」のところに、
画面左側の下のほう、「検索」をドラッグ→設定区画が開いて「保存」ボタンが出るので押します。
そのとき、「階層を表示」にチェックを入れるとカテゴリが階層表示になります。
同様に、「カテゴリ」もドラッグ追加・保存します。
あと、カテゴリは基本的に、投稿のあったカテゴリしか表示されません。
ですので例えば、もしカテゴリに親子関係が設定してある場合、子カテゴリだけに投稿があると親カテゴリが表示されません。
親カテゴリに投稿があってもなくても、サイトバーに親カテゴリを表示したい場合はこの「階層を表示」にチェックを入れます。
チェックを入れたら必ず「保存」ボタンを押します。
「サイドバー(トップページ)」にも、もし入ってなかったら、必要に応じてこのチェックを入れます。(既定では入っていたと思います。)
【サイドバー(固定ページ)】
同様の処理をします。(検索とカテゴリ両方)
カテゴリのほうは必要に応じて、「階層を表示」にチェックを入れて保存します。
【サイドバー(共通・下)】
もし、カテゴリが長くなる場合、「検索」が下のほうにもあったほうがあったほうが便利かも?となった場合は、ここに「検索」をドラッグ追加・保存します。
★記事作成画面にて、「カテゴリ一覧」と同じように「タグ一覧」リストを表示させる
「Wordpressのタグの一覧をExcelに件数別に残す方法」
https://euc-access-excel-db.com/tips/ct07_se/ct071501_wordpress/wordpress-tag-to-excel01
の後半をご参照ください。
★行頭や行末にスペースをたくさん入れる
Wordpressでは行頭・行末にスペースを一定以上入れると自動削除されてしまいます。
そのため、投稿や固定ページの本文で、Shift+Enterで改行したときに、次の行の先頭にスペースをたくさん入れることができません。
また、通常のインデントを入れると、上の行も一緒にインデントされてしまい、使えないこともあります。
以下、スペースを自動削除されないようにする方法です。
まず投稿本文の編集画面にて、「テキスト」表示にします。
その後、目的の行の頭に、
<SPAN> </SPAN>
と書きます。
<SPAN>と</SPAN>の間には、全角のスペースを入れれば、いくつでもOKとのことです。
参考URL
http://affinote.net/wordpress/1222/
検索語句:wordpress スペースを入れる
本当はスマホから見た時などのことを考えると表組などを使ってインデントさせるほうがいいと思うのですが、スマホから見たときにレイアウトがくずれでも構わないなら、行頭にスペースを入れてもOKかと思います。
★空白行を無理やり作る方法
Wordpressではスペースと同様、空白行も自動削除されてしまいます。
空白行を無理やり入れたい場合は、投稿編集画面を「テキスト」表示にして、
<SPAN> </SPAN>
を複数行、空白行を入れたい数だけ、入力します。
例えば以下のように書くと、4行の空白行を強制的に表示できます。
<SPAN> </SPAN>
<SPAN> </SPAN>
<SPAN> </SPAN>
<SPAN> </SPAN>
★URLの「ラベル」をつくりたい
同一ページに目次と本文を作りたい場合、本文の見出し部分に「ラベル」を設定して、そこへURLにてジャンプさせます。
そのときの「ラベル」の作り方です。
投稿内容を「テキスト」表示にして、本文の見出しを以下のように<a name=・・・>と</a>で囲みます。
<a name="ラベル名">本文の見出し</a>
検索語句:URL ラベル タグ
★目次の作成とジャンプ設定
本文見出しをページの上部に目次化したい場合、目次を次のように設定します。
投稿内容を「テキスト」表示にして、
<a href="#ページ内のリンクしたいラベル名">リンク先の本文見出し</a>
例えば「◆ 仮想マシンの作成」という本文内の見出しを目次化したい場合で、
その見出しに「#vm_make」というラベルを付けていた場合、
以下のようにページの上部に書くとそこへジャンプできるようになります。
投稿内容を「テキスト」表示にして、
<a href="#vm_make">◆ 仮想マシンの作成</a>
と書きます。
★他のページから、任意のWebページのラベル部分に直接アクセスさせたい場合
【ブラウザの同一タブ内で】
投稿内容を「テキスト」表示にして、
<a href="httpから始めるドメインURL#ラベル名">リンク先の見出しなど</a>
と書きます。
例 「◆ 仮想マシンの作成」という文字列にラベルへの
<a href="http://www.××$×#××.co.jp#vm_make" >◆ 仮想マシンの作成</a>
【別タブを自動生成してそこへ】
a href のあとに「target="_blank"」をつけるだけです。
<a href="http://www.××$×#××.co.jp#vm_make" target="_blank">◆ 仮想マシンの作成</a>
用語集などへジャンプさせたい場合は、いちいち戻るのが面倒となる気がするので、こちらの設定のほうがいいかもしれません。
編集するときにもこの形にしておいたほうがラクなので、そうします。
外観→ウィジット→画面右側の「サイドバー(投稿)」を▼で開いて「検索」の下に、画面左側から「BV_最近の投稿」をドラッグします。
「サイドバー(固定ページ)」にも同じ処置をします。
これをすると若干編集時の動作速度が上がる気がします。
・リビジョンの停止の方法(wp-config.phpの書き換え)
wp-config.phpをダウンロードしたのち、Terapadにて そのフッターに書かれている「require_once(ABSPATH . ‘wp-settings.php’);」より前に以下のコードをコピペします。
define('WP_POST_REVISIONS', false);
上書き保存して、もとあった場所に上書きアップロードします。
・自動保存機能の停止(functions.phpの書き換え)
テーマフォルダ の functions.php の <?php の次の行に以下のコードをコピペします
function disable_autosave() {
wp_deregister_script('autosave');
} add_action('wp_print_scripts','disable_autosave');
できたらこちらも元の場所に上書きアップロードします。
参考URL
https://www.itti.jp/web-staff/wp-revision-cont.php
http://acr0mania.com/wp-autosave-revision/
検索語句「wordprss リビジョン 自動保存 違い」
検索結果を投稿のタイトルだけにしたい:bizvektor 検索結果 説明 非表示
次の行の行頭にスペースを入れたい:wordpress スペースを入れる
カスタムリンクで、別ウィンドウに表示したい:wordpress カスタムリンク 別ウィンドウ
